军事机密遭窃！伪装成地图应用的安卓间谍软件锁定俄军设备，地缘网络战升级

 

“ 安卓间谍软件。”

 

 

 

01

—

导语

 

2025年4月，一场针对俄罗斯军事目标的网络攻击浮出水面——安全研究人员发现，一款名为Alpine Quest的安卓地图应用实则为高度定制的间谍软件，正秘密窃取俄军设备的地理位置、通信记录及设备敏感信息。这场攻击不仅暴露了军事供应链的脆弱性，更揭示了地缘冲突中网络战的隐蔽形态。攻击者如何绕过防线？普通用户又该如何防范？

 

 

一、事件直击：披着“地图工具”外衣的间谍武器

 

1伪装手法

 

恶意软件仿冒知名户外导航应用Alpine Quest（正版用户超200万），通过第三方应用商店和钓鱼链接传播，诱导用户下载。

 

应用图标、界面与正版高度一致，但包名使用com.alpinequestx（正版为com.alpinequest.full），细微差异难被察觉。

 

2攻击目标

 

主要针对俄罗斯军事人员及关联设备，通过植入后门实现：

 

实时定位追踪：每30秒上传GPS坐标至C2服务器militarytrack[.]top；

通讯窃密：监听Telegram、Signal等加密通信工具的本地缓存；

设备控制：远程激活摄像头/麦克风，窃取军事设施影像。

 

二、技术解析：军事级攻击的“三重渗透术”

 

1权限滥用

 

首次启动时申请“位置”“存储”“麦克风”等敏感权限，声称用于“离线地图导航”，实则用于数据窃取。

通过AccessibilityService监控用户操作，记录键盘输入（如账号密码）。

 

2隐蔽通信

 

使用DNS-over-HTTPS（DoH）加密通信，绕过传统防火墙检测。

C2服务器伪装成天气预报API，数据包中嵌套Base64编码的军事坐标（如55.751244, 37.618423对应莫斯科克里姆林宫）。

 

3持久化驻留

 

注册设备管理器防止卸载，若检测卸载意图，立即删除自身图标并转入后台隐身模式。

利用Android漏洞（CVE-2025-XXXX）提权，获取系统级访问权限。

 

三、攻击溯源：谁在操控这场军事间谍行动？

 

1APT组织特征

 

代码中残留俄语注释错误（如将“широта”拼写为“широтаа”），疑似故意误导溯源。

服务器IP归属地显示为中立国，但流量特征与已知北约背景的APT组织Winter Wolf高度相似。

 

2地缘冲突映射

 

攻击时间线与俄乌边境军事部署高度吻合，部分泄露坐标指向俄军S-500防空系统部署点。

卡巴斯基报告称，2024年同类攻击中，乌克兰电网曾遭类似手法渗透。

 

四、军事与民用双重威胁：普通人如何防御？

 

1军事系统教训

 

零信任架构：禁止军用设备安装非授权应用，严格隔离内外网数据流。

固件级检测：部署硬件可信根（Root of Trust），实时验证应用签名。

 

2普通用户自救指南

 

检查设备中是否存在com.alpinequestx包；

使用Malwarebytes等工具扫描异常进程。

下载渠道管控：仅从Google Play等官方商店获取应用，警惕“破解版”“汉化版”。

权限最小化：在设置中关闭非必要权限（如地图应用无需麦克风权限）。

设备排查：

 

五、行业反思：当民用技术成为军事攻击跳板

 

1供应链安全盲区

 

开源地图框架OSMDroid被恶意代码注入，暴露出第三方库审核缺失。

谷歌Play Protect未能识别恶意包，检测机制滞后于攻击演进。

 

2地缘网络战常态化

 

根据奇安信《2023全球APT趋势报告》，超60%的国家级攻击通过民用应用渗透，医疗、交通类应用成重灾区。

北约已成立“数字防御联盟”，推动成员国共享恶意软件特征库。

 

结语：在“看不见的战场”守护数字边疆

 

此次事件再次警示：网络战已模糊军用与民用的界限，一款地图应用可能成为撬动地缘格局的支点。在技术武器化的时代，安全意识是每个人的第一道防线。

 

作者：道玄安全；来源：道玄网安驿站微信号