Специалисты компании «Доктор Веб» обнаружили шпиона Android.Spy.1292.origin, основной целью которого являются российские военнослужащие. Троян скрывается в модифицированной злоумышленниками картографической программе Alpine Quest и распространяется в том числе через один из российских каталогов Android-приложений. Среди прочего он передает атакующим информацию о контактах из телефонной книги и геолокацию зараженных устройств. Кроме того, шпион собирает сведения о хранящихся на устройствах файлах и по команде злоумышленников способен загружать дополнительные модули с функциональностью для их кражи.
Alpine Quest — топографическая программа, которая позволяет использовать различные карты как в онлайн-режиме, так и при отсутствии подключения к интернету. Она популярна среди спортсменов, путешественников и охотников, но также нашла широкое применение среди российских военнослужащих в зоне проведения СВО — этим и решили воспользоваться организаторы данной кампании. Злоумышленники встроили Android.Spy.1292.origin в одну из старых версий ПО Alpine Quest и распространяли троянский вариант под видом общедоступной версии программы с расширенной функциональностью, Alpine Quest Pro. Для этого они создали поддельный Telegram-канал приложения, в котором давалась ссылка на загрузку программы в одном из российских каталогов приложений. Позднее эта же троянская версия под видом «обновления» распространялась и в самом канале.
