НЕ письки , НЕ сиськи

Шел 1 154  день Специальной Милитари Оперейшн, военослужащие по-прежнему скачивают приложухи из непроверенных источников...
Благо из моей Мобилы ,кроме моего дикпика и категорий порнухи, хохлы могут вытянуть только номера собственных мамаш. 

Вкратце
Было обнаружено вредоносное приложение Android.Spy.1292.origin, которрое маскируется под картографическое приложение Alpine Quest.
Программа крадёт личные данные, включая местоположение, контакты и файлы с телефона.

Где распространяется: прячется в поддельных версиях Alpine Quest, которые распространяют через Telegram-каналы.

Что крадёт:
💠Номер телефона и данные аккаунтов.
💠Контакты из телефонной книги.
💠Точное местоположение (по GPS).
💠Список файлов на устройстве.
💠Лог местоположений, созданный Alpine Quest.
💠Документы из Telegram и WhatsApp.

Разрешения(ключевые):
⚙️android.permission.ACCESS_FINE_LOCATION(доступ к точной геолокации через GPS)
⚙️android.permission.ACCESS_COARSE_LOCATION(доступ к приблизительному местоположению через сети (вышки, Wi-Fi))
⚙️android.permission.READ_CALENDAR(чтение событий календаря)
⚙️android.permission.READ_CONTACTS(чтение данных о контактах)
⚙️android.permission.READ_CALL_LOG(доступ к истории звонков)
⚙️android.permission.READ_PHONE_STATE(доступ к данным телефона: номер, ID устройства, статус звонков)
⚙️android.permission.WRITE_EXTERNAL_STORAGE(записывать данные на SD-карту или внешнее хранилище)
⚙️android.permission.GET_ACCOUNTS(список всех аккаунтов на устройстве)
⚙️android.permission.READ_SMS(чтение SMS-сообщений)
⚙️android.permission.SEND_SMS(отправка SMS, что может привести к финансовым потерям)

Как защититься(понятное дело, с мотивированными атакующими с хорошим финансированием, тяжело что-то сделать):
🛡Соблюдать базовую цифровую гигиену: не устанавливайте программы из Telegram, неизвестных сайтов или Google Play(если нет уверенности, что оно легитимное и чистое), особенно опасны "бесплатные" версии платных приложений. Проверяйте, от кого приложение. Злоумышленники используют похожие названия и логотипы.
🛡Проверяйте, что запрашивает приложение: если приложение требует доступ к контактам, SMS, звонкам или геолокации без причины - это подозрительно( в том плане, если это не требуется для необходимого функционала)
🛡Обновляйте устройство: устанавливайте последние обновления системы Android(безопасности)
⚠️На самом деле, многие антивирусные решения не обнаруживают угрозу и не редко являются snake-oil, повышая поверхность для атаки.

Источники:
https://news.drweb.ru/show/?i=15006&lng=ru&c=5
https://vms.drweb.ru/virus/?i=29891085
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.1292.origin/README.adoc
https://www.virustotal.com/gui/file/c6f57f4b052da4272adfe03c813a6f84a076bad7b216af0c377d3e4c3e0f1efd

Часть 1

касательно альпинки( и да, версия настолько старая распространялась, почему-то не указали в отчете доктор веб)
Вредоносная часть находилась в classes.dex( e73a6ae369c778b90071aef3388ce5acfdad5c27 ), classes3.dex( 7b318e13032c31412616d0e64e82511abf2aa8ac ), ...
Помимо подозрительного Telegram API для  C&C коммуникации,отключение оптимизации батареи(android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS) было тоже тревожным звоночком, забыл указать в посте

Если вдруг кто захочет попробовать выйти на след, то есть Matkap, но уже вероятность небольшая

Токен бота, который принадлежал атакующим
https://api.telegram.org/bot7833953061:AAHDhij-Ppl-ZsoJ_Z5yeqGbHijN4ySdMig/
https://api.telegram.org/bot7833953061:AAHDhij-pl-soJ_Z5yeqGbHijN4ySdMig/

И КСТАТИ! БОТ ЕЩЕ ЖИВ!

ДИСКЛЕЙМЕР:

НЕ КОЧАЦ , НЕ ТАПАТЬ , НЕ ПЫТАТЬСЯ ЗАКАЗАТЬ РОСТОВСКИХ КУРТИЗАНОК
через этот бот:
@alpinequestbot

Любим и ценим вас ❤️

Нужно немножечко донатов

Летишь себе спокойной по своим делам, бац муха 🪰 ( мавик )в глаз попал, так сказать получил подсрачника.

#zerovisibilityteam

Обтекатели для двойных акб под 3ю серию уехали в работу, о результатах, как говорится доложим. Под 5s тоже будут но немного позже.