Pesquisadores de cibersegurança identificaram uma campanha maliciosa que tem como alvo militares russos por meio de um spyware Android disfarçado como o aplicativo Alpine Quest, popular software de mapeamento utilizado em zonas de operação militar. De com a pesquisa, os atacantes modificaram versões antigas do Alpine Quest e inseriram um trojan no aplicativo, propagando-o como se fosse a versão paga e sem anúncios do Alpine Quest Pro. A distribuição foi feita por meio de catálogos de apps Android da Rússia e, posteriormente, através de um canal falso no Telegram, onde o spyware era oferecido diretamente como um arquivo APK.

O malware, batizado como Android.Spy.1292.origin, se comporta exatamente como o aplicativo original, o que permite que ele passe despercebido por longos períodos. Enquanto aparenta normalidade, ele coleta dados sensíveis do aparelho infectado, incluindo número de telefone, contas associadas, lista de contatos, localização em tempo real, data atual, arquivos armazenados e a versão do app instalado.

Além disso, a cada mudança de localização do usuário, o spyware envia os dados para um bot no Telegram. Também possui capacidade de baixar módulos adicionais, o que permite expandir suas funções maliciosas, como roubo de arquivos, especialmente aqueles trocados via Telegram e WhatsApp. Para mitigar ameaças desse tipo, os especialistas recomendam que usuários Android façam o download de aplicativos apenas por lojas oficiais e evitem versões “gratuitas” de softwares pagos, especialmente de fontes desconhecidas. A revelação ocorre em paralelo a outro caso envolvendo ataques direcionados a organizações russas. A Kaspersky detectou a distribuição de um backdoor sofisticado disfarçado como atualização para o software ViPNet, amplamente utilizado em redes seguras do governo, setor financeiro e indústria.