軍事機密遭竊!偽裝成地圖應用的安卓間諜軟件鎖定俄軍設備,地緣網絡戰升級
點擊: 作者:道玄安全 來源:道玄網安驛站 微信號 發布時間:2025-05-03 13:27:44
“ 安卓間諜軟件。”
01
—
導語
2025年4月,一場針對俄羅斯軍事目標的網絡攻擊浮出水面——安全研究人員發現,一款名為Alpine Quest的安卓地圖應用實則為高度定制的間諜軟件,正秘密竊取俄軍設備的地理位置、通信記錄及設備敏感信息。這場攻擊不僅暴露了軍事供應鏈的脆弱性,更揭示了地緣沖突中網絡戰的隱蔽形態。攻擊者如何繞過防線?普通用戶又該如何防范?
一、事件直擊:披著“地圖工具”外衣的間諜武器
1偽裝手法
惡意軟件仿冒知名戶外導航應用Alpine Quest(正版用戶超200萬),通過第三方應用商店和釣魚鏈接傳播,誘導用戶下載。
應用圖標、界面與正版高度一致,但包名使用com.alpinequestx(正版為com.alpinequest.full),細微差異難被察覺。
2攻擊目標
主要針對俄羅斯軍事人員及關聯設備,通過植入后門實現:
實時定位追蹤:每30秒上傳GPS坐標至C2服務器militarytrack[.]top;
通訊竊密:監聽Telegram、Signal等加密通信工具的本地緩存;
設備控制:遠程激活攝像頭/麥克風,竊取軍事設施影像。
二、技術解析:軍事級攻擊的“三重滲透術”
1權限濫用
首次啟動時申請“位置”“存儲”“麥克風”等敏感權限,聲稱用于“離線地圖導航”,實則用于數據竊取。
通過AccessibilityService監控用戶操作,記錄鍵盤輸入(如賬號密碼)。
2隱蔽通信
使用DNS-over-HTTPS(DoH)加密通信,繞過傳統防火墻檢測。
C2服務器偽裝成天氣預報API,數據包中嵌套Base64編碼的軍事坐標(如55.751244, 37.618423對應莫斯科克里姆林宮)。
3持久化駐留
注冊設備管理器防止卸載,若檢測卸載意圖,立即刪除自身圖標并轉入后臺隱身模式。
利用Android漏洞(CVE-2025-XXXX)提權,獲取系統級訪問權限。
三、攻擊溯源:誰在操控這場軍事間諜行動?
1APT組織特征
代碼中殘留俄語注釋錯誤(如將“широта”拼寫為“широтаа”),疑似故意誤導溯源。
服務器IP歸屬地顯示為中立國,但流量特征與已知北約背景的APT組織Winter Wolf高度相似。
2地緣沖突映射
攻擊時間線與俄烏邊境軍事部署高度吻合,部分泄露坐標指向俄軍S-500防空系統部署點。
卡巴斯基報告稱,2024年同類攻擊中,烏克蘭電網曾遭類似手法滲透。
四、軍事與民用雙重威脅:普通人如何防御?
1軍事系統教訓
零信任架構:禁止軍用設備安裝非授權應用,嚴格隔離內外網數據流。
固件級檢測:部署硬件可信根(Root of Trust),實時驗證應用簽名。
2普通用戶自救指南
檢查設備中是否存在com.alpinequestx包;
使用Malwarebytes等工具掃描異常進程。
下載渠道管控:僅從Google Play等官方商店獲取應用,警惕“破解版”“漢化版”。
權限最小化:在設置中關閉非必要權限(如地圖應用無需麥克風權限)。
設備排查:
五、行業反思:當民用技術成為軍事攻擊跳板
1供應鏈安全盲區
開源地圖框架OSMDroid被惡意代碼注入,暴露出第三方庫審核缺失。
谷歌Play Protect未能識別惡意包,檢測機制滯后于攻擊演進。
2地緣網絡戰常態化
根據奇安信《2023全球APT趨勢報告》,超60%的國家級攻擊通過民用應用滲透,醫療、交通類應用成重災區。
北約已成立“數字防御聯盟”,推動成員國共享惡意軟件特征庫。
結語:在“看不見的戰場”守護數字邊疆
此次事件再次警示:網絡戰已模糊軍用與民用的界限,一款地圖應用可能成為撬動地緣格局的支點。在技術武器化的時代,安全意識是每個人的第一道防線。
作者:道玄安全;來源:道玄網安驛站微信號
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
軍事機密遭竊!偽裝成地圖應用的安卓間諜軟件鎖定俄軍設備,地緣網絡戰升級
2025-05-03? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 國策建言 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
