Russiske soldater ved frontlinjen udsættes netop nu for målrettede cyberangreb gennem en ny Android-spyware, som skjuler sig i en populær kort-app. Spywaren, kaldet Android.Spy.1292.origin, er blevet opdaget af sikkerhedsforskere fra det russiske firma Dr.Web.
Man mener, at spywaren går målrettet efter russiske soldater, fordi den er skjult i en kort-app’en, Alpine Quest, som netop russisk militærpersonel ved frontlinjen ofte bruger. Denne app bruges normalt af soldater, jægere og sportsfolk, der har brug for detaljerede kort både online og offline. Det skriver ArsTechnica.
App’en distribueres via uofficielle Android-appbutikker samt gennem en særlig Telegram-kanal. Den målrettede distribution, kombineret med app’ens evne til at indsamle placeringer og fortrolige kommunikationer, styrker mistanken om, at angrebet specifikt går efter militære mål.
Spywaren fremstår yderst troværdig, da den ligner og fungerer som den ægte app. Det betyder, at ofrene ikke umiddelbart opdager, at deres enhed er inficeret. Ved hver åbning sender spywaren oplysninger om brugerens telefonnummer, kontaktpersoner, enhedens aktuelle placering, tidspunkt samt data om filer lagret på telefonen tilbage til bagmændene.
“Den trojanske app kan modtage opdateringer med nye moduler, der er specialiserede i at stjæle bestemte filer,” oplyser Dr.Webs forskere i en blogpost. De cyberkriminelle er især interesserede i fortrolige beskeder fra Telegram og WhatsApp samt logfiler over brugernes placering.
Selvom Dr.Web endnu ikke har kunnet pege på konkrete bagmænd bag operationen, spekuleres der i, at Ukraine muligvis står bag som en reaktion på tidligere russiske cyberangreb mod ukrainsk infrastruktur. Rusland har tidligere været beskyldt for omfattende cyberangreb mod ukrainske el-netværk og satellitkommunikation.
Google påpeger, at deres indbyggede sikkerhedsløsning, Play Protect, automatisk beskytter Android-brugere mod kendte varianter af denne type malware.
Parallelt med dette har cybersikkerhedsfirmaet Kaspersky også rapporteret, at russiske regeringsinstitutioner, banker og industrivirksomheder oplever avancerede cyberangreb gennem falske opdateringer til sikkerhedssoftware fra ViPNet.