Российских военных атакуют через AlpineQuest со встроенным трояном

Специалисты компании «Доктор Веб»

шпионскую кампанию, нацеленную на Android-устройства российских военнослужащих. Атакующие встроили троян Android.Spy.1292.origin в одну из старых версий AlpineQuest,

топографической программы. Вредоносное приложение распространялось через поддельный телеграм-канал, созданный в октябре 2024 года. После установки оно выглядит и функционирует как оригинальная программа, благодаря чему дольше остаётся незаметным. С помощью трояна злоумышленники получают с заражённого устройства пользовательские данные включая учетные записи, номер телефона, контакты из телефонной книги, текущую геолокацию, сведения о хранящихся файлах. Данные передаются на командный сервер, а также частично в телеграм-бот, куда сообщается о каждой смене местоположения устройства. Вредонос позволяет злоумышленникам скачивать с телефона интересующие файлы и загружать на него дополнительные модули:

Подобное использование военных и других специализированных приложений в качестве прикрытия для распространения вредоносов не редкость. Украинские власти сообщали об атаках, замаскированных под средства ситуационной осведомлённости «Крапива» и «Дельта». А в октябре прошлого года через поддельный чатбот службы поддержки приложения «Резерв+», созданного украинским Минобороны для призывников и резервистов,

MeduzaStealer.