Getarnte Android-Spyware zielt auf russische Militärgeräte
Sicherheitsexperten haben eine neue Spionagekampagne aufgedeckt, bei der Android-Schadsoftware gezielt gegen Angehörige des russischen Militärs eingesetzt wird. Die Malware tarnt sich als legitime Version der Kartenanwendung Alpine Quest, die insbesondere in militärischen Kreisen – etwa in der sogenannten „Spezialoperation“ – weit verbreitet ist.
Die Entdeckung geht auf Analysen von Doctor Web zurück. Demnach haben Angreifer ältere Versionen von Alpine Quest Pro, einer kostenpflichtigen Variante ohne Werbung und Tracking, manipuliert und als „kostenlose Vollversion“ verbreitet – unter anderem über russische App-Kataloge und gefälschte Telegram-Kanäle.
Tarnung mit Tiefgang: Malware bleibt lange unentdeckt
Die Schadsoftware, intern als Android.Spy.1292.origin bezeichnet, ist geschickt eingebettet: Nach der Installation verhält sich die App äußerlich wie das Original. Sie bietet gewohnte Kartenfunktionen und bleibt so über längere Zeiträume hinweg unauffällig. Im Hintergrund sammelt sie jedoch kontinuierlich sensible Informationen vom Gerät:
- Mobilfunknummer und verknüpfte Konten
- Kontaktverzeichnisse
- Aktuelles Datum und Geolokation
- Dateiinhalte und Informationen über gespeicherte Dateien
- Installierte App-Versionen
Jede Standortänderung des Nutzers wird automatisch an einen Telegram-Bot übermittelt. Zudem kann die Spyware über nachgeladene Module erweitert werden. Diese Module ermöglichen unter anderem den gezielten Diebstahl von Dateien – insbesondere solcher, die über Telegram oder WhatsApp empfangen oder gesendet wurden.
„Android.Spy.1292.origin erlaubt nicht nur die lückenlose Überwachung der Nutzerstandorte, sondern auch den Zugriff auf vertrauliche Dateien. Die modulare Architektur macht die Malware zudem äußerst flexibel und gefährlich“, warnt Doctor Web.
Verbreitung über App-Kataloge und Fake-Kanäle
Zunächst wurde die manipulierte App-Version über einen Download-Link in einem Telegram-Kanal angeboten, der sich als offizieller Anbieter ausgab. Später verbreiteten die Angreifer die infizierte APK-Datei direkt als App-Update. Diese Vorgehensweise erhöht die Reichweite und Umgehung klassischer Schutzmechanismen. Gerade in einem militärischen Umfeld, in dem Geräte oft außerhalb kontrollierter Netzwerke betrieben werden, ist das besonders problematisch.
Auch Windows-Rechner russischer Behörden und Industrie angegriffen
Parallel zu den Angriffen auf Android-Geräte meldet Kaspersky eine weitere Kampagne: Hier wurde eine Backdoor über manipulierte Updates für die als sicher geltende Netzwerklösung ViPNet verteilt. Betroffen sind Organisationen aus Regierung, Finanz- und Industriesektor.
Die Angreifer nutzten ein typisches Update-Archiv (LZH-Format), das neben legitimen Komponenten auch eine manipulierte Datei msinfo32.exe enthielt. Diese agiert als Loader und lädt ein verschlüsseltes Backdoor-Modul direkt in den Arbeitsspeicher. Die Schadsoftware kommuniziert über TCP mit einem Command-and-Control-Server, kann Dateien stehlen und weitere Schadkomponenten nachladen.
Beide Kampagnen zeigen: Angreifer setzen zunehmend auf präzise, kontextbezogene Tarnung – etwa durch legitime Software wie Alpine Quest oder scheinbar harmlose Updates für etablierte Sicherheitslösungen. Die technische Raffinesse und Modularität der Malware deutet auf professionelle Akteure hin.