Российские хакеры собирают данные украинцев с помощью фейкового приложения «Азов»

Российская хакерская группировка Turla, которую связывают с ФСБ недавно разместила программу для Android на домене, мимикрурующем под украинский полк «Азов». Как сообщил Google, приложение якобы должно атаковать российские госсайты, однако на самом деле только собирает информацию об украинцах, которые его установили.

Поддельное приложение «Азов»

Это первый известный случай, когда Turla распространяет вредоносное программное обеспечение, связанное с Android. Программа не распространялась через Google Play Store, а размещалась на приватном домене. Распространением приложения занимались в мессенджерах и социальных сетях

Фейковое приложение «Азова» распространяется под видом программы для выполнения атак типа «отказ в обслуживании» (DoS) против ряда российских сайтов. Однако «DoS» состоит лишь из одного запроса GET на целевой сайт, чего недостаточно, чтобы быть эффективным. Список целевых сайтов для приложения можно увидеть в CyberChef по ссылке.

При этом в Google считают, что распространение фейкового приложения не оказало серьезного влияния на пользователей Android и что количество установок было незначительным.

Другие киберугрозы со стороны россии

Помимо распространения вышеупомянутого приложения в Google обнаружили и другие попытки российских и белорусских спецслужб (а также подконтрольных им хакерских групп) нанести вред украинским пользователям. Вот самые серьезные из них:

• Уязвимость Follina (CVE-2022-30190), впервые обнародованная в конце мая, активно использовалась группами киберпреступников в течение всего июня. Согласно отчету CERT-UA, несколько российских агентов ГРУ РФ – APT28 и Sandworm – проводят кампании, используя эту уязвимость. Компания Sandworm использовала скомпрометированные государственные аккаунты для отправки ссылок на документы Microsoft Office, размещенные на скомпрометированных доменах, главным образом нацеливаясь на медиаорганизации в Украине.
• Ghostwriter/UNC1151, угроза, которую приписывают Беларуси, продолжает активную деятельность, нацеливаясь на учетные записи почты и аккаунты в социальных сетях польских пользователей. Для этого они продолжают использовать технику фишинга Браузер в браузере.
• COLDRIVER, российская хакерская группа, продолжает посылать фишинговые электронные письма целям, в частности правительству и чиновникам обороны, политикам и аналитическим центрам, а также журналистам. Кроме фишинговых ссылок непосредственно в электронной почте, злоумышленники также ссылаются на PDF-файлы и/или DOC, размещенные на Google Drive и Microsoft One Drive, содержащие ссылки на контролируемый злоумышленником фишинговый домен. Эти фишинговые домены были заблокированы службой Google Safe Browsing, которая определяет опасные веб-сайты в Интернете и уведомляет пользователей и владельцев веб-сайтов о потенциальном ущербе.