Програмне забезпечення для Android є повсюдно в ці дні, навіть знаходяться у використанні на сучасних полях битв. І так само, як і додатки на вашому смартфоні, завантаження потенційно порушених файлів.APK з неофіційних джерел може призвести до непередбачуваних наслідків.
У новому звіті американської технології кібербезпеки CrowdStrike встановлено, що хакерська група, відома як Fancy Bear, вбудувала імплантат зловмисного програмного забезпечення, відомий як X-Agent, у додаток Android, яке використовували українські військові. Вважається, що група має зв'язки з російською владою, яка підтримувала повстанські сили в Україні, і раніше вона була пов'язана з витоками електронної пошти DNC в іншому звіті, опублікованому CrowdStrike.
З блогу CrowdStrike:
Пізно влітку 2016 року аналітики CrowdStrike Intelligence почали розслідувати цікавий Android-пакет (APK) під назвою "Попр-Д30.apk" (MD5: 6f7523d3019fa190499f327211e01fcb), який містив ряд артефактів російської мови, які були військового характеру. Початкові дослідження показали, що назва файлу передбачає відношення до буксируваної гаубиці 122-мм Д-30, артилерійської зброї, вперше виготовленої в Радянському Союзі в 1960-х роках, але досі використовується до сьогодні. Поглиблене зворотне проектування показало, що APK містив Android-варіант X-Agent, протокол управління та управління був тісно пов'язаний із спостережуваними варіантами Windows X-Agent і використовував криптографічний алгоритм під назвою RC4 з дуже схожим базовим ключем 50 байтів.
Ім'я файлу "Попр-Д30.apk" пов'язувалося з легітимною заявкою, яку спочатку розробляли на внутрішній території України офіцер 55-ї артилерійської бригади на ім'я Ярослав Шерстук. У інтерв'ю для ЗМІ пан Шерстук стверджує, що програма, яка налічувала близько 9000 користувачів, скоротила час стрільби з D-30 з хвилин на секунди. В магазині додатків Android жодних доказів застосування не спостерігалося, тому малоймовірно, що програма розповсюджувалася через цю платформу.
У звіті йдеться про те, що якби зловмисне програмне забезпечення X-Agent було успішно розгорнуто в програмі, воно дозволило б здійснити точну розвідку для повстанських військ на розташуванні українських артилерійських позицій. CrowdStrike виявив, повідомляючи, що "українські артилерійські війська втратили понад 50% зброї за 2 роки конфлікту та понад 80% гаубиць D-30, що є найвищим відсотком втрат будь-якої іншої артилерійської частини в арсеналі України". Повний звіт від CrowdStrike ви можете прочитати тут.
Цей випадок, очевидно, є досить екстремальним прикладом збитків, які можуть зламати додатки, але нехай це служить суворим нагадуванням для всіх нас про те, наскільки легко можна завантажувати шкідливі програми Android з Інтернету.
