Wirus kradnie dane z telefonów. Obrywają rosyjscy żołnierze

Badacze zabezpieczeń odkryli nowe złośliwe oprogramowanie atakujące telefony z Androidem. Podszywa się ono pod popularną aplikację do planowania tras, nawigacji w terenie i aktywności na świeżym powietrzu. W rzeczywistości jest to program szpiegujący (spyware), który instaluje się przez trojana. Może on wykradać pliki i informacje ze smartfona. Dobre wieści? Aplikacja zbiera żniwo wśród rosyjskich żołnierzy na froncie. A czy Polacy również powinni się jej obawiać?

Rosyjska armia chętnie korzysta z tej aplikacji. Nie wiedzą, co jest w środkueng.mil.rumateriały prasowe

Wirus na telefon atakuje rosyjskich żołnierzy

Jak podają odkrywcy tej aplikacji z rosyjskiej firmy Dr.Web, oprogramowanie szpiegujące obrało za cel Rosjan na froncie. Twórcy oprogramowania ukryli trojana wewnątrz zmodyfikowanej aplikacji Alpine Quest - normalnie prawowitej aplikacji do planowania wędrówek i aktywności w terenie. Spreparowana wersja aplikacji zawiera trojana, który instaluje oprogramowanie szpiegowskie. Eksperci nazwali mu nazwę Android.Spy.1292.origin. Spyware uruchamia się na telefonach niczego nie podejrzewających ofiar, umożliwiając atakującym zdalne instalowanie dodatkowych modułów. Dzięki temu mogą oni ściągać na serwer:

bieżącą lokalizację
bieżącą datę
kontakty z książki telefonicznej
informacje o plikach na urządzeniu
pliki z urządzenia (dzięki dodatkowym modułom)
numer telefonu i konta ofiary
wersję aplikacji

Alpine Quest to znana aplikacja dla sportowców, podróżników, fanów pieszych wędrówek czy wszelkich outdoorowych aktywności. Badacze zabezpieczeń wyjaśniają, że jest ona popularna także wśród rosyjskich żołnierzy biorących udział w "specjalnej operacji wojskowej", czyli inwazji Rosji na Ukrainę. Najprawdopodobniej ten wektor ataku został opracowany specjalnie po to, aby prowadzić cyberwojnę z Rosją. Teoretycznie dzięki dodatkowym modułom atakujący mogą zainstalować oprogramowanie, które zniszczy telefon od środka, zablokuje go albo wprowadzi modyfikacje jako formę sabotażu. Nie wiadomo jednak, czy do takich przypadków już doszło.

Android.Spy.1292.origin został umieszczony w starszej wersji Alpine Quest. Apka jest rozpowszechniana jako darmowa wersja Alpine Quest Pro (wersja z dodatkowymi funkcjami). Hakerzy stworzyli jej specjalny profil na Telegramie, popularnej platformie społecznościowej u naszych wschodnich sąsiadów. Kanał ten zawiera link do pobrania apki w jednym z rosyjskich katalogów z aplikacjami. W tym samym miejscu rozprowadzany jest link do złośliwego oprogramowania, które maskuje się jako aktualizacja.

Trojan działa niepostrzeżenie. Aplikacja uruchamia się normalnie

Użytkownicy aplikacji niczego się nie spodziewają. Złośliwy kod został bowiem zaszyty w kopii Alpine Quest, która uruchamia się normalnie i nic nie wskazuje na infekcję. Spyware działa niezauważenie i może uruchamiać swój kod przez długi czas. Jej główne zadanie polega na kopiowaniu danych i wysyłaniu ich na serwer znajdujący się pod kontrolą atakujących. Jak podaje Doctor Web, trojan wysyła dane geolokalizacyjne za każdym razem, gdy zmienia się lokalizacja telefonu ofiary. Pozwala to śledzić ruchy wojsk na froncie.

"Po otrzymaniu informacji o dostępnych plikach atakujący mogą polecić trojanowi pobranie i uruchomienie dodatkowych modułów, które są używane do wykradania niezbędnych plików" - wyjaśniają Rosjanie. "W rezultacie Android.Spy.1292.origin nie tylko pozwala monitorować lokalizację użytkowników, ale też przechwytywać poufne pliki. Dodatkowo jego funkcjonalność można rozszerzyć poprzez pobranie nowych modułów, które pozwalają następnie wykonać szerokie spektrum złośliwych ataków".

Nie wiadomo, kim są twórcy złośliwego oprogramowania. Mogą to być ukraińscy hakerzy zatrudnieni przez państwo, którzy prowadzą wojnę cybernetyczną z Rosją. Równie dobrze atakujący mogą pochodzić... właściwie skądkolwiek. Rosja jest - delikatnie mówiąc - niezbyt lubiana przez środowisko hakerów, zwłaszcza przez grupy haktywistów takie jak Anonymous. To środowisko hakerów jest rozproszone po całym świecie, a jego struktura jest zdecentralizowana.

Spyware może kraść dane Polaków? Nie instaluj aplikacji z tych źródeł

Czy na atak narażeni są również Polacy? O ile nie klikasz podejrzanych linków i nie pobierasz aplikacji Alpine Quest z nieoficjalnych repozytoriów, to nic ci nie grozi. Apka jest dostępna w Sklepie Google Play, ale nie wydano jej na iPhone'a. Warto też zachować czujność, gdy ktoś oferuje za darmo płatną wersję aplikacji. To nie tylko piractwo, ale też zagrożenie.

Aplikacje z nieznanych źródeł, wliczając w to pakiety .apk do samodzielnej instalacji poprzez sideloading, mogą być zmodyfikowane. Jak widać na powyższym przykładzie, aplikacja może uruchamiać się i działać normalnie, ale prowadząc jakby podwójne życie. Złośliwy kod uruchamia się w tle, a użytkownik niczego nawet nie podejrzewa.

Zrzut ekranu rozmowy w aplikacji czatowej z widocznymi wiadomościami tekstowymi oraz informacjami o użytkowniku lub kanale. Tekst na ekranie jest głównym elementem obrazu.

Złośliwe oprogramowanie zostało ukryte w normalnie działającej aplikacji. Linki są rozsyłane Telegramem Dr.Web (zrzut ekranu)materiały prasowe

Czy znaczy to, że wszystkie apki pobierane ze Sklepu Play są bezpieczne? Niekoniecznie. Mimo że Google od lat wprowadza kolejne środki ochrony zarówno do Sklepu, jak i Androida, to wśród prawowitych aplikacji nadal można znaleźć śmieci czy fałszywki. Swego czasu firma prowadziła czystki w swoim sklepie, a usuwane aplikacje szły w tysiące.

Przed zainstalowaniem aplikacji sprawdź liczbę pobrań, średnią ocen i komentarze. Upewnij się też, że pochodzi od oficjalnego wydawcy, a nie np. od użytkownika, którego nazwa jest łudząco podobna. Dobrym pomysłem będzie też antywirus na Androida. Pakiet chroniący jest w stanie wykryć to, co umyka naszej uwadze, podobnie jak od lat dzieje się to na naszych komputerach.