Los soldados rusos aprenden por qué no hay que descargar apps pirateadas: un malware los geolocaliza en Ucrania

Una de las formas que los ciberdelincuentes tienen de distribuir malware es integrándolo con software pirata. Antes de los smartphones, con programas ya ‘activados’ para Windows con los que el usuario se evitaba pagar la licencia de uso. Hoy en día, es más común con los APK de las aplicaciones para Android, el sistema operativo más extendido. Por ese motivo, siempre se ha recomendado evitar el pirateo y adquirir el software por vías legales, algo que la empresa de ciberseguridad rusa Dr.Web ha recordado esta semana tras descubrir un malware cuyo objetivo es el personal militar ruso.

Este troyano spyware está oculto en un APK (Android Package Kit, el formato de archivo utilizado por el sistema operativo Android para distribuir e instalar aplicaciones) modificado de la app de mapas Alpine Quest. Esta aplicación es habitualmente empleada por cazadores y deportistas, ‘pero también ampliamente utilizada por el personal militar ruso en la zona de Operaciones Militares Especiales’, el eufemismo con el que Rusia se refiere a la invasión de Ucrania.

Alpine Quest ofrece a sus usuarios mapas topográficos para uso tanto online como offline. La versión maliciosa se distribuye a través de un canal específico de Telegram y en repositorios no oficiales de apps para Android con el gancho habitual en estos casos: ofrece gratuitamente la versión Pro, de pago, de la aplicación. Un ahorro de unos pocos rublos que les puede salir muy caro a los soldados rusos desplegados en Ucrania.

El componente malicioso en la app se identifica como Android.Spy.1292.origin. Según explican investigadores de Dr.Web, el spyware está integrado en una copia de la app que por lo demás es legítima y ofrece la apariencia y funcionalidad original, permitiendo operar sin ser detectado durante más tiempo.

Los datos que el malware de Alpine Quest recopila

Cada vez que se ejecuta, el troyano recopila y envía al servidor de mando y control los siguientes datos:

• Número de teléfono del usuario y cuentas asociadas.
• Contactos de la agenda.
• Fecha actual.
• Geolocalización actual.
• Información sobre los archivos almacenados en el dispositivo.
• Versión de la app.

Al mismo tiempo, duplica parte de esta información en el bot de Telegram de los atacantes. Por ejemplo, el troyano le envía los datos de geolocalización cada vez que cambia la ubicación del dispositivo.

Si los atacantes detectan archivos de interés, pueden ordenar al troyano que descargue y ejecute módulos adicionales que se utilizarán para robar los archivos necesarios. Los investigadores de Dr.Web han observado especial interés en los documentos confidenciales enviados por Telegram y WhatsApp, así como en el archivo locLog que registra ubicaciones y es generado por Alpine Quest. El diseño modular de la app permite incorporar nuevas capacidades mediante actualizaciones.

Dr.Web no identifica a los responsables de crear y distribuir Android.Spy.1292.origin. Sin embargo, dada la guerra en curso, es probable que se trate de una operación de inteligencia ucraniana.