Google разоблачил фальшивое приложение, обещавшее украинцам инструменты для DDoS-атак российских сайтов. На самом деле это приложение выпустила российская кибергруппа Turla, ассоциируемая с ФСБ. Об этом сообщила экспертная группа Google Threat Analysis Group в своем блоге.
По данным TAG, приложение «Кибер Азов», использующее символику украинского полка «Азов», на самом деле создано группировкой Turla. Эта хакерская группа известна тем, что скомпрометировала европейские и американские организации с помощью вредоносного программного обеспечения.
Приложение распространялось через домен, контролируемый Turla, и его нужно было устанавливать вручную из файла APK. В магазине Google Play это приложение не было доступно.
Текст на сайте Cyber Azov утверждал, что программа будет запускать атаки типа DDoS на российские сайты. Но анализ TAG показал, что программа была неэффективна для этой цели. Она лишь отправляла GET-запросы, что недостаточно эффективно для блокировки сайтов.
Анализ файла APK на VirusTotal показывает, что многие антивирусы обозначают его как вредоносное приложение, содержащее троян.
В TAG говорят, что количество пользователей, установивших приложение, невелико. Адрес биткойн, указанный на веб-сайте для сбора пожертвований, не осуществлял и не получал никаких транзакций, что подтверждает оценку того, что вредоносное приложение не достигло широкого охвата.
Однако домен Cyber Azov все еще доступен, поэтому больше пользователей Android могут установить приложение.
Помимо вредоносных программ для Android, TAG также заметил использование недавно обнаруженной уязвимости Follina в Microsoft Office. Она позволяет захватывать компьютеры с помощью вредоносных документов Word. По словам исследователей Google, уязвимость использовалась группами, связанными с российскими военными для таргетинга на медиаорганизации в Украине.