前情回顾·俄罗斯网络威胁态势
安全内参4月24日消息,一种新型安卓恶意软件被发现伪装成被木马化的Alpine Quest地图应用。据称,俄罗斯士兵经常使用该应用进行战区作战规划。
攻击者在Telegram频道和俄罗斯的应用分发平台传播该木马版本,声称这是Alpine Quest Pro高级版的免费破解版本。
图:通过Telegram频道分发木马化Alpine Quest应用
Alpine Quest是一款合法的安卓GPS与地形图绘制应用,广泛应用于探险者、运动员、搜救人员及军队之中,以其离线功能和高精度而广受推崇。
该应用有两个版本,一个是功能受限的免费Lite版,另一个是无跟踪代码、分析工具及广告的付费Pro版。
俄罗斯网络安全公司Doctor Web的研究人员发现了这款木马软件,其隐藏于一个完整可运行的Alpine Quest应用中,从而降低用户的戒心,并为窃取敏感数据提供了可乘之机。
一旦运行,该恶意软件会试图窃取设备中的通信信息和敏感文件,可能会泄露军方行动的关键细节。具体而言,该间谍软件会执行以下操作:
向攻击者发送用户的手机号码、联系人、地理位置、文件信息及应用版本;
实时监控用户位置变动,并通过Telegram机器人发送更新;
下载额外模块以窃取机密文件,尤其是通过Telegram和WhatsApp传输的文件;
搜索Alpine Quest应用中的“locLog”文件,该文件记录了位置历史日志。
Doctor Web将这款此前未被记录的间谍软件命名为“Android.Spy.1292.origin”,但其报告未对软件的具体来源进行归属分析。相关的攻击指标如下图。
网络战场局势激烈
以往有过针对士兵的网络攻击行动,曾被归因于俄罗斯的黑客活动。这些活动通常与国家支持的威胁组织有关,其目标是为俄罗斯军队搜集情报。
2022年12月,黑客攻陷乌克兰国防部邮箱账号,试图利用乌克兰的情报收集与管理系统DELTA作为钓饵,发动进一步感染。
2024年10月,俄罗斯威胁组织“UNC5812”通过伪装成名为“民防”的虚假机构,利用Windows和安卓平台的恶意软件攻击乌克兰新兵。
最近,在2025年2月,谷歌研究人员披露,俄罗斯APT44组织的威胁行动者使用恶意二维码诱导目标将Signal账户同步至未经授权的设备上。
木马化Alpine Quest应用的曝光,表明冲突双方都在发动这类隐蔽攻击,情报收集在争夺战场优势中仍发挥着重要作用。
参考资料:https://www.bleepingcomputer.com/news/security/russian-army-targeted-by-new-android-malware-hidden-in-mapping-app/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
