假冒 Alpine Quest 地图APP被发现监视俄军行动

带有间谍软件的假冒 Alpine Quest 应用程序被用来攻击俄罗斯军用 Android 设备，窃取位置数据、联系人和敏感文件。

热门安卓导航应用“Alpine Quest”的恶意版本被发现携带针对俄罗斯军事人员的间谍软件。Doctor Web 的安全研究人员发现了该恶意软件，该软件嵌入了Android.Spy.1292.origin能够收集数据并通过远程命令扩展其功能的间谍软件。

Alpine Quest 深受户外运动爱好者的喜爱，但由于其离线地图功能，俄罗斯军区士兵也对其十分依赖。这为攻击者提供了便捷的掩护。攻击者重新打包了该应用的旧版本，并通过虚假的 Telegram 频道将其作为免费下载推送。该链接指向一个针对俄罗斯用户的应用商店，在那里，被感染的软件被列为该应用的专业版。

一旦安装，该间谍软件就会收集各种信息。每次打开应用程序时，它都会将用户的电话号码、账户信息、联系人、地理位置以及设备上存储的文件列表发送到远程服务器。其中一些数据还会发送到攻击者控制的 Telegram 机器人，包括用户每次移动时更新的位置信息。

Doctor Web 的分析表明，这款间谍软件的能力远不止被动追踪。在识别出哪些文件可用后，恶意软件会被指示下载旨在提取特定内容的新模块。

根据其行为，攻击者似乎对通过 Telegram 和 WhatsApp 等即时通讯应用分享的文档特别感兴趣。它还会搜索一个名为 locLog 的文件，该文件由 Alpine Quest 自行创建，用于详细记录用户活动。

由于该间谍软件与应用程序的可运行版本捆绑在一起，因此其外观和功能都与应用程序本身无异，从而有时间不被察觉地运行。其模块化设计也意味着其功能会随着时间的推移而增强，具体取决于攻击者的目标。

Doctor Web 建议用户避免从非官方来源下载应用程序，即使这些应用程序似乎提供免费的付费功能。即使在官方应用商店，也最好避免安装不需要的应用程序。恶意应用程序会绕过 Google Play 和 App Store 的审核流程。

此次攻击活动的幕后组织尚未确定，也不清楚此次行动是源自国内还是国外。过去类似的行动已被证实与乌克兰黑客组织有关，其中包括“网络抵抗”（又称乌克兰网络联盟）。

据报道，2023年，他们以俄罗斯军人配偶为目标，窃取敏感个人数据。然而，目前尚无确凿证据证明此次间谍软件攻击活动的幕后组织。

技术报告：

https://news.drweb.com/show/?i=15006&lng=en

新闻链接：

https://hackread.com/fake-alpine-quest-mapping-app-spying-russian-military/