俄军士兵作战规划APP被植入后门，专门窃取通信、位置等信息

安全内参4月24日消息，一种新型安卓恶意软件被发现伪装成被木马化的Alpine Quest地图应用。据称，俄罗斯士兵经常使用该应用进行战区作战规划。

攻击者在Telegram频道和俄罗斯的应用分发平台传播该木马版本，声称这是Alpine Quest Pro高级版的免费破解版本。

图：通过Telegram频道分发木马化Alpine Quest应用

Alpine Quest是一款合法的安卓GPS与地形图绘制应用，广泛应用于探险者、运动员、搜救人员及军队之中，以其离线功能和高精度而广受推崇。

该应用有两个版本，一个是功能受限的免费Lite版，另一个是无跟踪代码、分析工具及广告的付费Pro版。

俄罗斯网络安全公司Doctor Web的研究人员发现了这款木马软件，其隐藏于一个完整可运行的Alpine Quest应用中，从而降低用户的戒心，并为窃取敏感数据提供了可乘之机。

一旦运行，该恶意软件会试图窃取设备中的通信信息和敏感文件，可能会泄露军方行动的关键细节。具体而言，该间谍软件会执行以下操作：

向攻击者发送用户的手机号码、联系人、地理位置、文件信息及应用版本；

实时监控用户位置变动，并通过Telegram机器人发送更新；

下载额外模块以窃取机密文件，尤其是通过Telegram和WhatsApp传输的文件；

搜索Alpine Quest应用中的“locLog”文件，该文件记录了位置历史日志。

Doctor Web将这款此前未被记录的间谍软件命名为“Android.Spy.1292.origin”，但其报告未对软件的具体来源进行归属分析。相关的攻击指标如下图。

以往有过针对士兵的网络攻击行动，曾被归因于俄罗斯的黑客活动。这些活动通常与国家支持的威胁组织有关，其目标是为俄罗斯军队搜集情报。

2022年12月，黑客攻陷乌克兰国防部邮箱账号，试图利用乌克兰的情报收集与管理系统DELTA作为钓饵，发动进一步感染。

2024年10月，俄罗斯威胁组织“UNC5812”通过伪装成名为“民防”的虚假机构，利用Windows和安卓平台的恶意软件攻击乌克兰新兵。

最近，在2025年2月，谷歌研究人员披露，俄罗斯APT44组织的威胁行动者使用恶意二维码诱导目标将Signal账户同步至未经授权的设备上。

木马化Alpine Quest应用的曝光，表明冲突双方都在发动这类隐蔽攻击，情报收集在争夺战场优势中仍发挥着重要作用。