Doctor Web
俄罗斯资安业者Doctor Web上周发现,有一款Android地图软体Alpine Quest被植入木马&间谍程式,可用来窃取受害者的地理位置与通讯录,还能搜集装置上所存放的档案资料,或是下载其它恶意程式,锁定的是俄罗斯的前线战士。
Alpine Quest是款专供户外活动使用的地图软体,不管是旅行、跑步、追踪、狩猎或航海等;它可以线上使用,也能离线使用,或是存取SD记忆卡上的地图;借由装置的上的GPS及磁性感测器,可即时定位使用者的位置;或是储存与检索地标,并与友人分享。它提供免费版与付费版,付费版具备高品质地形显示,可读取不同格式的离线地图,能处理复杂且带有时间戳的地标,能够储存与分享线上位置,并可汇出轨迹,售价为14.99欧元。
Doctor Web说,Alpine Quest受到许多运动员、旅行者及猎人的喜爱,同时它也被俄罗斯军人广泛地在俄乌战区使用,而这正是骇客的目标。
调查发现,骇客是在旧版的Alpine Quest软体中嵌入Android.Spy.1292.origin间谍程式,然后建立了一个假冒为Alpine Quest的Telegram频道,宣称要免费提供付费版产品,并将使用者导向一个俄罗斯的应用程式商店以进行下载。
因为这个木马&间谍程式具备完整的Alpine Quest功能,使得它能够蛰伏更久,每次启用时,它就会搜集装置上的号码、通讯录、日期、位置及装置上存放的档案资讯等,并将它们上传到骇客所控制的伺服器,且只要装置的位置发生变化,该程式就会自动向骇客的Telegram机器人送出位置资料。
分析显示,Android.Spy.1292.origin间谍程式不仅可用来监控使用者位置,还能劫持机密档案,或是下载新模组来拓展其功能。
Doctor Web建议使用者最好只从可靠来源下载Android程式,而非透过可疑网站或Telegram频道,特别是宣称免费提供付费程式版本时。