Un nouveau malware Android a été découvert caché dans des versions cheval de Troie de l’application de cartographie Alpine Quest, qui serait utilisée par les soldats russes dans le cadre de la planification opérationnelle des zones de guerre.
Les attaquants font la promotion de l’application cheval de Troie en tant que version gratuite et fissurée de l’Alpine Quest Pro premium, en utilisant les canaux Telegram et les catalogues d’applications russes pour la distribution.
AlpineQuest est une application légitime de cartographie GPS et topographique pour Android utilisée par les aventuriers, les athlètes, les équipes de recherche et de sauvetage et le personnel militaire, appréciée pour ses capacités hors ligne et sa précision.
L’application dispose de deux versions: une version Lite gratuite avec des fonctionnalités limitées et une version Pro payante exempte de bibliothèques de suivi, d’analyses et de publicités.
Le logiciel espion, qui a été découvert par des chercheurs de la société russe d’antivirus mobile Doctor Web, se cache à l’intérieur d’une application Alpine Quest entièrement fonctionnelle, réduisant les soupçons et créant de précieuses opportunités de vol de données.
Une fois lancé, il tente de voler des données de communication et des documents sensibles de l’appareil, révélant potentiellement des détails sur les opérations de l’armée. Plus précisément, le logiciel espion effectue les actions suivantes:
- Envoie le numéro de téléphone, les contacts, la géolocalisation, les informations sur les fichiers et la version de l’application de l’utilisateur aux attaquants.
- Surveille les changements d’emplacement en temps réel et envoie des mises à jour à un bot Telegram.
- Télécharge des modules supplémentaires pour voler des fichiers confidentiels, en particulier ceux envoyés via Telegram et WhatsApp.
- Recherche le fichier ‘loc Log’ d’Alpine Quest, qui contient les journaux d’historique de localisation.
Doctor Web identifie le logiciel espion précédemment non documenté comme « Android ».Espion. 1292.origine » mais n’a fait aucune attribution sur son origine dans son rapport. Les indicateurs de compromis sont disponibles ici.
Tourner les tables
La tactique consistant à cibler les soldats était auparavant associée à des opérations de piratage russes, souvent liées à des groupes de menaces parrainés par l’État collectant des renseignements pour l’armée russe.
En décembre 2022, des pirates informatiques utilisant un compte de messagerie compromis du ministère ukrainien de la Défense ont tenté des infections ultérieures en utilisant DELTA, un système ukrainien de collecte et de gestion des renseignements comme appât.
En octobre 2024, le groupe de menaces russe « INC 5812 » a ciblé des conscrits ukrainiens avec des logiciels malveillants Windows et Android via une fausse agence nommée « Défense civile ».’
Plus récemment, en février 2025, des chercheurs de Google ont révélé que des acteurs de la menace russe du groupe APT 44 utilisaient des codes QR malveillants pour inciter les cibles à synchroniser leurs comptes Signal avec des appareils non autorisés.
La découverte de l’application cheval de Troie AlpineQuest montre que ces attaques sournoises sont orchestrées des deux côtés du conflit, car la collecte de renseignements reste cruciale pour gagner l’avantage sur le champ de bataille.