By Eliza Popova
origin, він схований усередині модифікованого додатка Alpine Quest, що відображає топографічні карти в режимах онлайн і офлайн. Це ПЗ використовують військовослужбовці армії Росії, які беруть участь у бойових діях на території України — вони і стали головною метою атаки.
Вірусний додаток поширюється на підробленому каналі в месенджері Telegram, який створили для імітації офіційно ресурсу розробників Alpine Quest.
Спочатку там розмістили посилання на завантаження програми в неофіційному каталозі додатків для Android, а потім ПЗ окремо опублікували в каналі під виглядом оновлення.
Головна перевага, яка спонукає користувачів завантажувати троянізовану програму, в тому, що вона надає безкоштовну версію Alpine Quest Pro, яка зазвичай доступна тільки за платною підпискою. Як уточнили в Dr. Web, Android. Spy. 1292.
origin вбудований у копію реального додатка, він має вигляд і працює як оригінал, завдяки цьому може непомітно шкодити користувачам дуже довгий час. Модульна конструкція додатка дає йому змогу отримувати додаткові оновлення, які ще більше розширюють можливості.
Під час кожного запуску вірус збирає і відправляє на сервер такі дані: номер мобільного телефону користувача та його рахунку; контакти з телефонної книги; поточну дату; поточну геолокацію; інформацію про файли, що зберігаються на пристрої; версію програми.
Якщо зловмисники бачать у списку цікаві файли, то можуть за допомогою оновлення ПЗ запустити модуль, який їх вкраде. За даними дослідників, розробники застосунку особливо цікавляться документами, які військові надсилають через Telegram і WhatsApp.
Вони також виявляють інтерес до файлу locLog, журналу місцеположень, створеного Alpine Quest. Dr. Web не вказав, хто може стояти за створенням і поширенням шкідливого додатка, націленого на росіян. Цілком можливо, це роблять українські спецслужби, вважає видання ArsTechnica.
Українська
English
USA
Français
Deutsch
Italiano
Polski
Čeština
Español
Slovensku
