Російські хакери збирають данні українців за допомогою фейкового додатка «Азов»

Російське хакерське угрупування Turla, яке пов’язують з ФСБ нещодавно розмістила програму для Android на домені, який мімікрує під український полк «Азов». Як повідомив Google, додаток нібито має атакувати російські держсайти, проте насправді лише збирає інформацію про українців. які його встановили.

Фейковий додаток «Азов»

Це перший відомий випадок, коли Turla розповсюджує шкідливе програмне забезпечення, пов’язане з Android. Програма не розповсюджувалася через Google Play Store, а розміщувалася на приватному домені. Поширенням додатка займались в месенджерах і соціальних мережах

Фейковий додаток «Азову» поширюється під виглядом програми для виконання атак типу «відмова в обслуговуванні» (DoS) проти ряду російських сайтів. Однак «DoS» складається лише з одного запиту GET до цільового сайту, чого недостатньо, щоб бути ефективним. Список цільових сайтів для програми можна побачити в CyberChef за посиланням.

При цьому у Google вважають, що розповсюдження фейкового додатка не мало серйозного впливу на користувачів Android і що кількість встановлень була незначною.

Інші кіберзагрози з боку росії

Крім поширення вищезгаданого додатка в Google виявили й інші спроби російських та білоруських спецслужб (а також підконтрольних їм хакерських груп) завдати шкоди українським користувачам. Ось найсерйозніші з них:

• Вразливість Follina (CVE-2022-30190), вперше оприлюднена наприкінці травня, активно використовувалася групами кіберзлочинців протягом всього червня. Згідно зі звітом CERT-UA, кілька російських агентів ГРУ РФ — APT28 і Sandworm — проводять кампанії, використовуючи цю вразливість. Кампанія Sandworm використовувала скомпрометовані державні облікові записи для надсилання посилань на документи Microsoft Office, розміщені на скомпрометованих доменах, головним чином націлюючись на медіаорганізації в Україні.
• Ghostwriter/UNC1151, загроза, яку приписують Білорусі, продовжує активну діяльність, націлюючись на облікові записи пошти та акаунти соціальних мереж польських користувачів. Для цього вони продовжують використовувати техніку фішингу «Браузер у браузері».
• COLDRIVER, російська хакерська група, продовжує надсилати фішингові електронні листи до цілей, зокрема до урядовців і чиновників оборони, політиків, та аналітичних центрів, а також журналістів. Окрім фішингових посилань безпосередньо в електронному листі, зловмисники також посилаються на PDF-файли та/або DOC, розміщені на Google Drive та Microsoft One Drive, які містять посилання на контрольований зловмисником фішинговий домен. Ці фішингові домени було заблоковано Google Safe Browsing – службою, яка визначає небезпечні веб-сайти в Інтернеті та сповіщає користувачів і власників веб-сайтів про потенційну шкоду.