Los investigadores de ciberseguridad han revelado que el personal militar ruso es el objetivo de una nueva campaña maliciosa que distribuye el spyware de Android bajo la apariencia del software de mapeo Alpine Quest.
«Los atacantes ocultan este troyano dentro del software de mapeo de misiones alpinas modificadas y lo distribuyen de varias maneras, incluso a través de uno de los catálogos de aplicaciones de Android rusos», dijo Doctor Web en un análisis.
El troyano se ha encontrado integrado en versiones anteriores del software y se propagó como una variante disponible gratuitamente de Alpine Quest Pro, una oferta de pago que elimina las características de publicidad y análisis.
El proveedor de ciberseguridad ruso dijo que también observó el malware, denominado android.spy.1292.origin, distribuido en forma de un archivo APK a través de un canal de telegrama falso.
Si bien los actores de amenaza inicialmente proporcionaron un enlace para descargar la aplicación en uno de los catálogos de aplicaciones rusas a través del canal Telegram, la versión troyanizada se distribuyó más tarde directamente como un APK como actualización de la aplicación.
Lo que hace que la campaña de ataque sea notable es que se aprovecha el hecho de que Alpine Quest es utilizado por el personal militar ruso en la zona de operación militar especial.
Una vez instalado en un dispositivo Android, la aplicación de malware se ve y funciona como el original, lo que le permite permanecer sin ser detectado durante períodos prolongados, mientras recopila datos confidenciales,
- Número de teléfono móvil y sus cuentas
- Listas de contactos
- Fecha actual y geolocalización
- Información sobre archivos almacenados y
- Versión de la aplicación
Además de enviar la ubicación de la víctima cada vez que cambia a un bot de telegrama, el spyware admite la capacidad de descargar y ejecutar módulos adicionales que le permiten exfiltrar archivos de interés, particularmente los enviados a través de Telegram y WhatsApp.
«Android.spy.1292.origin no solo permite que las ubicaciones de los usuarios sean monitoreadas sino también que los archivos confidenciales sean secuestrados», dijo Doctor Web. «Además, su funcionalidad se puede ampliar a través de la descarga de nuevos módulos, lo que le permite ejecutar un espectro más amplio de tareas maliciosas».
Para mitigar el riesgo planteado por tales amenazas, se recomienda descargar aplicaciones de Android solo de los mercados de aplicaciones de confianza y evitar descargar versiones de software «gratuitas» de fuentes dudosas.
Organizaciones rusas dirigidas por la nueva puerta trasera de Windows
La divulgación se produce cuando Kaspersky reveló que varias organizaciones grandes en Rusia, que abarcan el gobierno, las finanzas y los sectores industriales, han sido atacadas por una puerta trasera sofisticada disfrazándola como una actualización para un software de red seguro llamado VIPNET.
«La puerta trasera se dirige a las computadoras conectadas a las redes VIPNET», dijo la compañía en un informe preliminar. «La puerta trasera se distribuyó dentro de los archivos LZH con una estructura típica de las actualizaciones para el producto de software en cuestión».
Presente dentro del archivo hay un ejecutable malicioso («msinfo32.exe») que actúa como un cargador para una carga útil cifrada también incluida en el archivo.
«El cargador procesa el contenido del archivo para cargar la puerta trasera en la memoria», dijo Kaspersky. Esta puerta trasera es versátil: puede conectarse a un servidor C2 a través de TCP, lo que permite al atacante robar archivos de computadoras infectadas y lanzar componentes maliciosos adicionales, entre otras cosas «.