Peneliti cybersecurity telah mengungkapkan bahwa personel militer Rusia adalah target kampanye berbahaya baru yang mendistribusikan spyware android dengan kedok perangkat lunak pemetaan alpine quest.
“Para penyerang menyembunyikan trojan ini di dalam perangkat lunak pemetaan pemetaan Alpine Quest yang dimodifikasi dan mendistribusikannya dengan berbagai cara, termasuk melalui salah satu katalog aplikasi Android Rusia,” kata Doctor Web dalam sebuah analisis.
Trojan telah ditemukan tertanam dalam versi yang lebih lama dari perangkat lunak dan disebarkan sebagai varian Alpine Quest Pro, sebuah program dengan fungsionalitas canggih.
Vendor cybersecurity Rusia mengatakan mereka juga mengamati malware, dijuluki Android.spy.1292.origin, didistribusikan dalam bentuk file APK melalui saluran telegram palsu.
Sementara para aktor ancaman awalnya menyediakan tautan untuk mengunduh aplikasi di salah satu katalog aplikasi Rusia melalui saluran telegram, versi trojanisasi kemudian didistribusikan secara langsung sebagai APK sebagai pembaruan aplikasi.
Apa yang membuat kampanye serangan penting adalah bahwa ia mengambil keuntungan dari fakta bahwa Alpine Quest digunakan oleh personel militer Rusia di zona operasi militer khusus.
Setelah diinstal pada perangkat Android, aplikasi yang dilihat malware terlihat dan berfungsi seperti aslinya, memungkinkannya untuk tetap tidak terdeteksi untuk waktu yang lama, sambil mengumpulkan data sensitif –
- Nomor ponsel dan akun mereka
- Daftar Kontak
- Tanggal saat ini dan geolokasi
- Informasi tentang file yang disimpan, dan
- Versi Aplikasi
Selain mengirim lokasi korban setiap kali berubah menjadi bot telegram, Spyware mendukung kemampuan untuk mengunduh dan menjalankan modul tambahan yang memungkinkannya untuk mengekspiltrasi file yang menarik, terutama yang dikirim melalui Telegram dan WhatsApp.
“Android.spy.1292.origin tidak hanya memungkinkan lokasi pengguna dipantau tetapi juga file rahasia dibajak,” kata Dokter Web. “Selain itu, fungsinya dapat diperluas melalui pengunduhan modul baru, yang memungkinkannya untuk kemudian menjalankan spektrum tugas jahat yang lebih luas.”
Untuk mengurangi risiko yang ditimbulkan oleh ancaman seperti itu, disarankan untuk mengunduh aplikasi Android hanya dari pasar aplikasi tepercaya dan menghindari mengunduh versi perangkat lunak berbayar “gratis” dari sumber yang meragukan.
Organisasi Rusia yang ditargetkan oleh windows backdoor baru
Pengungkapan itu datang ketika Kaspersky mengungkapkan bahwa berbagai organisasi besar di Rusia, yang mencakup sektor pemerintah, keuangan, dan industri, telah ditargetkan oleh pintu belakang yang canggih dengan menyamar sebagai pembaruan untuk perangkat lunak jejaring yang aman yang disebut VIPNET.
“Backdoor menargetkan komputer yang terhubung ke jaringan VIPNet,” kata perusahaan itu dalam laporan pendahuluan. “Backdoor didistribusikan di dalam arsip LZH dengan struktur khas pembaruan untuk produk perangkat lunak yang dimaksud.”
Hadir dalam arsip adalah executable berbahaya (“minsinfo32.exe”) yang bertindak sebagai pemuat untuk muatan terenkripsi yang juga termasuk dalam file.
“Loader memproses isi file untuk memuat backdoor ke dalam memori,” kata Kaspersky. Backdoor ini serba guna: dapat terhubung ke server C2 melalui TCP, memungkinkan penyerang mencuri file dari komputer yang terinfeksi dan meluncurkan komponen berbahaya tambahan, antara lain. “
