Spyware ile bağlanmış sahte Alpine Quest uygulaması, Rus askeri Android cihazlarını hedeflemek, konum verilerini, kişileri ve hassas dosyaları çalmak için kullanıldı.
Rus askeri personeline yönelik casus yazılımları taşıyan popüler bir Android navigasyon uygulaması olan Alpine Quest’in kötü niyetli bir versiyonu bulundu. Doctor Web’deki güvenlik araştırmacıları, değiştirilmiş yazılımı ortaya çıkardı. Android.Spy.1292.origin Verileri toplayabilen ve işlevselliğini uzak komutlar aracılığıyla genişletebilen casus yazılım.
Alpine Quest, açık hava meraklıları tarafından yaygın olarak kullanılır, ancak çevrimdışı haritalama özellikleri nedeniyle Rusya’nın askeri bölgelerindeki askerler tarafından da güvenilir. Bu, uygulamanın eski bir sürümünü yeniden paketleyen ve sahte bir telgraf kanalı aracılığıyla ücretsiz bir indirme olarak iten saldırganlar için uygun bir kapak haline getirdi. Bağlantı, enfekte yazılımın uygulamanın profesyonel bir sürümü olarak listelendiği Rus kullanıcıları hedefleyen bir uygulama mağazasına yol açtı.
Kurulduktan sonra, casus yazılım her türlü bilgiyi toplar. Uygulama her açıldığında, kullanıcının telefon numarasını, hesap detaylarını, kişileri, coğrafi konumunu ve cihazda depolanan dosyaların bir listesini uzak bir sunucuya gönderir. Bu verilerin bir kısmı, kullanıcı her hareket ettiğinde güncellenmiş konum ayrıntıları da dahil olmak üzere saldırganlar tarafından kontrol edilen bir telgraf botuna da gönderilir.
Doctor Web’in analizi, bu casus yazılımın pasif izlemeden daha fazlasını yapabileceğini gösteriyor. Hangi dosyaların kullanılabilir olduğunu belirledikten sonra, kötü amaçlı yazılımlara belirli içeriği ayıklamak için tasarlanmış yeni modüller indirmesi talimatı verilebilir. Davranışlarına dayanarak, saldırganlar özellikle Telegram ve WhatsApp gibi mesajlaşma uygulamalarıyla paylaşılan belgelerle ilgileniyorlar. Ayrıca, kullanıcı hareketlerini ayrıntılı olarak kaydeden Alpine Quest tarafından oluşturulan Loclog adlı bir dosya arar.
Casus yazılım uygulamanın çalışan bir sürümü ile paketlendiğinden, normal olarak görünür ve işlev görür ve fark edilmeden çalışması için zaman verir. Modüler tasarımı aynı zamanda saldırganların hedeflerine bağlı olarak yeteneklerinin zamanla büyüyebileceği anlamına gelir.
Doctor Web, kullanıcılara ücretli özelliklere ücretsiz erişim sunduklarında bile gayri resmi kaynaklardan uygulamalar indirmekten kaçınmalarını tavsiye eder. Resmi uygulama mağazalarında bile, gerçekten ihtiyacınız olmayan uygulamaları yüklemekten kaçınmak en iyisidir. Kötü amaçlı uygulamaların hem Google Play hem de App Store’daki inceleme süreçlerini geçtiği bilinmektedir.
Yazma sırasında, kampanyanın arkasındaki grup tanımlanmamıştır ve bu operasyonun yerli mi yoksa yabancı mı olup olmadığı belirsizliğini korumaktadır. Bununla birlikte, geçmişte benzer operasyonlar, Ukrayna Siber İttifakı olarak da bilinen siber direniş de dahil olmak üzere Ukraynalı hacktivist gruplarla bağlantılıdır. 2023’te bildirildiğine göre Rus askeri personelinin hedefli eşlerihassas ve kişisel verilerin çıkarılması. Ancak, bu casus yazılım kampanyasının arkasındaki grup için hala onaylanmış bir ilişkilendirme yoktur.