Se ha descubierto un nuevo malware en Android, dirigido a soldados rusos, que se oculta dentro de versiones trojanizadas de la aplicación de mapas Alpine Quest.
Esta aplicación es comúnmente utilizada por el personal militar para planificación operativa en zonas de guerra. El malware, distribuido a través de canales de Telegram y catálogos de aplicaciones rusos, representa un grave riesgo de seguridad al robar datos sensibles de los dispositivos infectados.
Detalles Claves del Malware ️♂️
La aplicación trojanizada imita la legítima Alpine Quest, una aplicación de GPS y mapas topográficos valorada por sus capacidades offline y precisión.
Investigadores de Doctor Web identificaron el spyware, que realiza las siguientes acciones:
- Envía datos sensibles: Incluye el número de teléfono, contactos, geolocalización, información de archivos y versión de la app a los atacantes.
- Rastreo en tiempo real de ubicación: Actualiza constantemente al bot de Telegram del atacante con la ubicación del dispositivo.
- Robo de archivos: Descarga módulos adicionales para robar archivos confidenciales, especialmente los enviados a través de Telegram y WhatsApp.
- Roba el historial de ubicación: Apunta y recoge datos del archivo ‘locLog’, que almacena el historial de ubicaciones.
El malware ha sido identificado como Android.Spy.1292.origin, pero no se ha determinado su origen exacto, aunque se sospecha que forma parte de los ataques cibernéticos patrocinados por el estado dirigidos al personal militar.
Tácticas de los Hackers Rusos
Este tipo de ataque, dirigido a soldados, está en línea con operaciones cibernéticas previas vinculadas a grupos de amenazas rusos.
Se han observado tácticas similares en incidentes pasados, donde se utilizó software malicioso para recopilar inteligencia para operaciones militares.
- En diciembre de 2022, los hackers rusos atacaron al Ministerio de Defensa de Ucrania con una cuenta de correo comprometida, intentando infectar sus sistemas.
- En octubre de 2024, el grupo ruso UNC5812 distribuyó malware a través de ofertas de trabajo falsas dirigidas a los conscriptos ucranianos.
- Más recientemente, en febrero de 2025, el grupo APT44 utilizó códigos QR maliciosos para hackear cuentas de Signal de soldados ucranianos.
Medidas de Defensa ️
Google Play Protect ofrece protección automática contra versiones conocidas de este malware en dispositivos Android.
Advierte a los usuarios y bloquea aplicaciones maliciosas, incluso aquellas provenientes de fuentes fuera de la tienda oficial de Google Play.