Что случилось
Хакерская группировка Turla из россии создала приложение, которое выдавало себя за инициативу полка «Азов». Это приложение создано якобы для DDoS-атак на российские ресурсы, но на самом деле собирало личную информацию и передавало хакерам.
О приложении сообщил в Twitter billy leonard.
🐍🤖 Some recent Turla activity that @0xbadcafe1 and I looked at spoofing the 🇺🇦 Azov Regiment … but targeting Android users. A short 🧵 for your Friday perusal.
— billy leonard (@billyleonard) July 8, 2022
Приложение создано для Android, но на Play Store его нет. Установочный файл размещен на файлоомбенниках и ресурсах, связанных с хакерской группировкой. Также APK проверили через VirusTotal, который показал вирусы.
Billy leonard предупреждает, что при помощи команды «get» и несовершенства протокола приложение может получить доступ к данным на телефоне.
Программа рассчитана на якобы DDoS российских сайтов, но список сайтов скачивается автоматически, так что в приложении могут показываться российские цели, но на самом деле будут атаковать украинские сайты.
Пользователь предупреждает, что файл может распространяться под названием «cyberazov[.]com», так что лего не стоит скачивать.
Кто такие Turla
Группировка Turla, также известная как Uroburos/Epic Turla/Snake/SnakeNet/Venomous Bear/Krypton, связана с ФСБ. Она ответственна за атаки на украинские сайты и шпионаж.
С начала полномасштабного вторжения группировка использовала вирус-червь Uroburos, который формировал бот-сети из зараженных компьютеров и воровал информацию. Среди объектов атак были веб-ресурсы органов государственной власти (в том числе силовых структур), средств массовой информации, финансовые учреждения и крупные промышленные предприятия.