Шпигунське ПЗ для Android націлене на російських солдатів через Alpine Quest

Троянський додаток для картографії збирає контакти, геолокацію та документи

Дослідники безпеки виявили новий штам шпигунського програмного забезпечення для Android, який отримав назву Android.Spy.1292.origin. Цей шкідливий софт спеціально розроблений для проникнення на пристрої російських військових, які перебувають на фронті в Україні. Він маскується під повністю розблоковану «Pro» версію популярного додатку для топографічної картографії Alpine Quest і розповсюджується через спеціально створений канал у Telegram та різні сторонні репозиторії Android.

• Назва модуля шкідливого ПЗ: Android.Spy.1292.origin
• Канали розповсюдження: неофіційні магазини додатків, групи в Telegram
• Основні цілі: російські військові, польові оперативники
• Вкрадені дані: контакти з телефонної книги, журнали геолокації, файли, метадані пристроїв

Принцип дії Троянця

Оскільки шпигунське ПЗ інтегроване в легітимну копію Alpine Quest, всі функції картографії, як в офлайн, так і в онлайн режимах, залишаються доступними. При кожному запуску додатку шкідливе ПЗ активує фоновий сервіс, який:

• Сканує та ексфільтрує файл contacts.db і записи телефонної книги.
• Отримує метадані пристрою: модель, версія Android, список встановлених додатків.
• Читає файл locLog Alpine Quest, що містить детальні GPS-траси переміщень користувача.
• Збирає мультимедійні файли та чутливі документи з директорій Telegram і WhatsApp.
• Відправляє всі зібрані дані через HTTPS на заздалегідь задану C2-адресу.

Зв’язок з сервером командування та контролю (C2) використовує TLS 1.2, але не має пінінгу сертифікатів, що робить його вразливим до атак типу «людина посередині», якщо захисники зможуть перехопити трафік у великих обсягах. Модульна архітектура дозволяє операторам завантажувати нові модулі, такі як кейлогери чи модулі програм-вимагачів, через зашифровані Dex файли, що завантажуються під час виконання.

Технічний аналіз модуля Android.Spy.1292.origin

Реверс-інжиніринг, проведений Dr.Web, виявив кілька важливих деталей реалізації:

• Обфускація та упаковка: Строкові літерали зашифровані за допомогою AES і розпаковуються в пам’яті. Додаток використовує власний завантажувач на рідному ARM-коді для дешифрування та ін’єкції шкідливого Dex-пейлоада.
• Хуки в режимі виконання: Шпигунське ПЗ підключається до API LocationManager Android, щоб безшумно запитувати GPS-координати з високою точністю кожні п’ять хвилин. Також реєструється фоновий сервіс, щоб уникнути завершення роботи ОС в режимі Doze.
• Динамічні оновлення: Компонент «менеджер плагінів» опитує сервер C2 на предмет нових модулів кожні 24 години. Модулі підписуються за допомогою власного ключа, щоб запобігти їх підробці.

Виклики атрибуції та геополітичний контекст

Жоден постачальник безпеки публічно не взяв на себе відповідальність за атаку, але аналітики вказують на кілька ознак:

• Використання Telegram для розповсюдження відображає тактики, раніше спостережувані в кампаніях шпигунства в Східній Європі.
• Мовні артефакти в коментарях коду та відповідях C2 вказують на носія української мови, хоча фальшиві сліди є поширеним явищем.
• Історичний прецедент: ГРУ Росії було пов’язане з кібератаками на енергетичну інфраструктуру України в 2015-2016 роках, тоді як українські актори використовували мобільне шкідливе ПЗ проти російських військ.

Незалежно від походження, ця операція свідчить про перехід до більш точного, мобільно орієнтованого кібер-шпигунства в зонах високої інтенсивності конфлікту. Останні звіти від Mandiant та Kaspersky також підкреслюють наявність бекдорів, що націлені на захищені мережі ViPNet, та атаки на ланцюги постачання проти російських державних органів.

Заходи захисту та стратегії пом’якшення

Польові оперативники та військові IT-спеціалісти можуть вжити кілька контрзаходів для зменшення ризиків:

• Впровадження білого списку додатків: Використовуйте рішення для управління мобільними пристроями (MDM), щоб обмежити встановлення перевіреними додатками з Google Play або внутрішнього корпоративного магазину.
• Увімкнення Google Play Protect: Навіть в офлайн-середовищах, періодичне підключення до Інтернету може дозволити Play Protect сканувати на наявність відомих сигнатур шкідливого ПЗ.
• Моніторинг мережі: Використовуйте перехоплення TLS на граничних шлюзах для виявлення незвичних патернів трафіку C2, особливо POST-запитів з великими обсягами даних на порту 443.
• Моніторинг цілісності файлів: Слідкуйте за змінами в ключових директоріях (наприклад, /sdcard/Android/data/) та перевіряйте нові Dex-файли, завантажені існуючими додатками.

Вплив на військову кібербезпеку

Ця кампанія підкреслює зростаюче значення мобільних захистів у сучасній війні. Оскільки картографічні та навігаційні додатки стають незамінними інструментами для підрозділів на передовій, противники продовжуватимуть їх використовувати для збору HUMINT та геопросторової розвідки. IT-команди повинні доповнити традиційні брандмауери та захист кінцевих точок платформами захисту від мобільних загроз (MTD), здатними до поведінкового аналізу та виявлення аномалій на пристроях Android.

Думки експертів

«Вбудовування шпигунського ПЗ в легітимний утиліту – це класична тактика, але його модульний дизайн і залежність від ріднокодних завантажувачів представляють собою значний еволюційний крок», – зазначає доктор Олена Петрова, старший аналітик шкідливого ПЗ в CyberShield Labs. «Організації, що працюють у зонах конфлікту, повинні вважати, що кожен .apk може бути потенційно ворожим, і інвестувати відповідно».

Додаткові матеріали

• Блог Dr.Web про Android.Spy.1292.origin: news.drweb.com
• Звіт Kaspersky про бекдор ViPNet: securelist.com
• Огляд Mandiant про мобільне шпигунство в конфлікті в Україні