Поки триває війна в Україні, дослідники з Google виявили зловмисне програмне забезпечення від російської державної групи, замасковане під проукраїнський додаток.
Подробиці були розкриті в дописі в блозі, опублікованому групою аналізу загроз Google (TAG), яка спеціалізується на відстеженні та викритті хакерських дій, що фінансуються державою.
За даними TAG, додаток «Кібер Азов», який використовує ультраправий український військовий підрозділ полк «Азов», насправді створений Turla, підтримуваною кремлем хакерською групою, відомою тим, що вона скомпрометувала європейські та американські організації за допомогою шкідливих програм.
Згідно з дослідженням TAG, додаток поширювався через домен, контрольований Turla, і його потрібно було вручну встановити з файлу додатка APK, а не розміщувати в магазині Google Play.
Текст на веб-сайті Cyber Azov стверджував, що програма запускатиме атаки типу «відмова в обслуговуванні» на російські веб-сайти, але аналіз TAG показав, що програма була неефективною для цієї мети.
Тим часом аналіз файлу APK на VirusTotal показує, що багато найбільших постачальників засобів захисту від зловмисного програмного забезпечення позначають його як шкідливе програмне забезпечення, що містить троян.
Повідомлення в блозі TAG свідчить про те, що кількість користувачів, які встановили додаток, невелика.
Однак у вівторок вранці домен Cyber Azov все ще був доступний для The Verge, це означає, що більше користувачів Android можуть обманом змусити завантажити програму.
Адреса біткойн, вказана на веб-сайті для збору пожертв, не здійснювала та не отримувала жодних транзакцій на момент публікації, що підтверджує оцінку того, що шкідливий додаток не досяг широкого охоплення.
Окрім шкідливих програм для Android, TAG також помітив використання нещодавно виявленої вразливості Follina в Microsoft Office, яка дозволяє хакерам захоплювати комп’ютери за допомогою зловмисно створених документів Word.
За словами дослідників Google, уразливість використовувалася групами, пов’язаними з російськими військовими (ГРУ), для націлювання на медіа-організації в Україні.
Додаток-підробка, завантажений Turla, зачіпає важливу тенденцію в кібервимірі російсько-українського конфлікту, а саме участь великої децентралізованої бази цифрових волонтерів, які сподіваються допомогти українській справі.
На початку конфлікту групи, пов’язані з Anonymous, здобули низку перемог проти російських компаній шляхом зламу та витоку конфіденційних даних, хоча незрозуміло, який суттєвий вплив це мало на хід війни.
Під час вторгнення українська «ІТ-армія» потрапила в заголовки газет, здійснивши серію атак на відмову в обслуговуванні, слабо координованих через схвалений урядом канал Telegram — організаційну стратегію, яку аналітики описали як новаторський підхід до кібернетики та ведення інформаційної війни.