21 апреля 2025 года

Специалисты компании «Доктор Веб» обнаружили шпиона Android.Spy.1292.origin, основной целью которого являются российские военнослужащие. Троян скрывается в модифицированной злоумышленниками картографической программе Alpine Quest и распространяется в том числе через один из российских каталогов Android-приложений. Среди прочего он передает атакующим информацию о контактах из телефонной книги и геолокацию зараженных устройств. Кроме того, шпион собирает сведения о хранящихся на устройствах файлах и по команде злоумышленников способен загружать дополнительные модули с функциональностью для их кражи.

Alpine Quest — топографическая программа, которая позволяет использовать различные карты как в онлайн-режиме, так и при отсутствии подключения к интернету. Она популярна среди спортсменов, путешественников и охотников, но также нашла широкое применение среди российских военнослужащих в зоне проведения СВО — этим и решили воспользоваться организаторы данной кампании. Злоумышленники встроили Android.Spy.1292.origin в одну из старых версий ПО Alpine Quest и распространяли троянский вариант под видом общедоступной версии программы с расширенной функциональностью, Alpine Quest Pro. Для этого они создали поддельный Telegram-канал приложения, в котором давалась ссылка на загрузку программы в одном из российских каталогов приложений. Позднее эта же троянская версия под видом «обновления» распространялась и в самом канале.

Telegram-канал, через который злоумышленники распространяли трояна Android.Spy.1292.origin

Поскольку Android.Spy.1292.origin встроен в копию настоящего приложения, после установки он выглядит и работает как оригинальная программа, что позволяет ему дольше оставаться незамеченным и выполнять вредоносные функции.

При каждом запуске троян собирает и передает на управляющий сервер следующие данные:

• учетные записи пользователя и его номер мобильного телефона;
• контакты из телефонной книги;
• текущую дату;
• текущую геолокацию;
• сведения о хранящихся на устройстве файлах;
• версию приложения.

При этом он дублирует часть информации в принадлежащий атакующим Telegram-бот. Например, троян отправляет ему данные о новых координатах при каждой смене местоположения устройства.

Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.

Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий.

Специалисты компании «Доктор Веб» рекомендуют устанавливать Android-приложения только из проверенных источников, таких как официальные каталоги ПО, и не загружать их из Telegram-каналов или с сомнительных сайтов — особенно если речь идет о якобы свободно доступных платных версиях программ. При этом необходимо обращать внимание на то, от имени кого распространяются интересующие приложения, поскольку злоумышленники часто маскируются под настоящих разработчиков, используя для этого похожие имена и логотипы.

Для защиты Android-устройств необходимо пользоваться антивирусом. Dr.Web Security Space для мобильных устройств надежно детектирует и удаляет трояна Android.Spy.1292.origin, поэтому для наших пользователей он опасности не представляет.

Индикаторы компрометации

Подробнее об Android.Spy.1292.origin