Il personale militare russo è l’obiettivo di un nuovo malware per Android recentemente individuato, un software malevolo in grado di rubare i contatti e inviare dati sulla localizzazione.
Lo riferisce il sito statunitense Ars Technica spiegando che il malware è nascosto all’interno di un’app di mapping modificata, sfruttata, tra gli altri, da cacciatori, atleti e militari russi dislocati in zone di guerra in Ucraina.
L’app consente di visualizzare varie carte topografiche online e offline, ed è distribuita su un canale Telegram dedicato e in repository non ufficiali. Gli utenti sono attirati dalla possibilità di scaricare gratis Alpine Quest Pro, app che normalmente è a pagamento.
Il modulo malevolo dell’app è denominato Android.Spy.1292.origin. In un post sul blog i ricercatori della società di ricerca russa Dr.Web spiegano: “Poiché Android.Spy.1292.origin è inserito in una copia genuina dell’app, appare e funziona come l’originale, permettendo di rimanere attivo senza essere scoperto, eseguendo attività malevole per lunghi periodi di tempo”.
I ricercatori specializzati in sicurezza spiegano che ogni volta che l’app con viene lanciata, il trojan raccoglie e invia dati a un server di comando e controllo: il numero di telefono dell’utente e i rispettivi account, contatti dalla rubrica, la data, dettagli sulla geolocalizzazione, informazioni sui file memorizzati nel dispositivo e la versione dell’app.
L’esistenza di file di possibile interesse può consentire agli autori del malware di aggiornare l’app e recuperare quanto richiesto. In particolare gli autori dl trojan sembrano interessati a documenti riservati inviati tramite Telegram e WhatsApp. Sono a quanto pare interessati anche al file locLog, loc con informazioni sulla localizzazione creato da Alpine Quest. Il design modulare dell’app rende possibile ricevere aggiornamenti, ampliando ulteriormente le capacità del trojan.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.
