Il personale militare russo è l’obiettivo di un nuovo malware per Android recentemente individuato, un software malevolo in grado di rubare i contatti e inviare dati sulla localizzazione.

Lo riferisce il sito statunitense Ars Technica spiegando che il malware è nascosto all’interno di un’app di mapping modificata, sfruttata, tra gli altri, da cacciatori, atleti e militari russi dislocati in zone di guerra in Ucraina.

L’app consente di visualizzare varie carte topografiche online e offline, ed è distribuita su un canale Telegram dedicato e in repository non ufficiali. Gli utenti sono attirati dalla possibilità di scaricare gratis Alpine Quest Pro, app che normalmente è a pagamento.

Il modulo malevolo dell’app è denominato Android.Spy.1292.origin. In un post sul blog i ricercatori della società di ricerca russa Dr.Web spiegano: “Poiché Android.Spy.1292.origin è inserito in una copia genuina dell’app, appare e funziona come l’originale, permettendo di rimanere attivo senza essere scoperto, eseguendo attività malevole per lunghi periodi di tempo”.

I ricercatori specializzati in sicurezza spiegano che ogni volta che l’app con viene lanciata, il trojan raccoglie e invia dati a un server di comando e controllo: il numero di telefono dell’utente e i rispettivi account, contatti dalla rubrica, la data, dettagli sulla geolocalizzazione, informazioni sui file memorizzati nel dispositivo e la versione dell’app.

L’esistenza di file di possibile interesse può consentire agli autori del malware di aggiornare l’app e recuperare quanto richiesto. In particolare gli autori dl trojan sembrano interessati a documenti riservati inviati tramite Telegram e WhatsApp. Sono a quanto pare interessati anche al file locLog, loc con informazioni sulla localizzazione creato da Alpine Quest. Il design modulare dell’app rende possibile ricevere aggiornamenti, ampliando ulteriormente le capacità del trojan.

