Malware van Russische Fancy Bear ontdekt in Android app voor Oekraïense soldaten

malware-300x225

Een Android app die door Oekraïense strijdkrachten wordt gebruikt om hun artilleriesystemen snel te kunnen kalibreren blijkt malware te bevatten. Het gaat om malware die vermoedelijk is ontwikkeld door Fancy Bear, een cybercrimegroepering die in verband wordt gebracht met de Russische militaire inlichtingendienst GRU.

Dit meldt beveiligingsbedrijf Crowdstrike. Dit bedrijf meldde eerder dat Fancy Bear betrokken is geweest bij de cyberaanvallen op de Democratic National Committee (DNC). Via de X-Agent backdoor malware zou de groep toegang hebben gehad tot servers van de DNC en data in handen hebben gekregen die uiteindelijk is uitgelekt op internet. Bij de aanval op de DNC werd gebruik gemaakt van een Windows-client van de malware.

Android app van Oekraïense legerofficier

Crowdstrike meldt nu dat de malware opnieuw in het wild is opgedoken, ditmaal in een Android app die oorspronkelijk is ontwikkeld door een Oekraïense legerofficier om de verouderde D-30 Howitzer systemen sneller te kunnen kalibreren. Dit proces nam voorheen minuten in beslag, maar kan dankzij de app in minder dan 15 seconden worden uitgevoerd. Gebruikers geven simpelweg de coördinaten op van hun doelwit, waarna de app alle benodigde waarden berekend. Denk hierbij aan windsnelheid en de hoek waaronder de artillerie moet worden ingesteld. De app wordt door ruim 9.000 Oekraïense soldaten gebruikt, meldt het beveiligingsbedrijf.

De X-Agent backdoor malware die in deze app is aangetroffen blijkt onder andere in staat de exacte locatie van gebruikers door te kunnen geven aan Fancy Bear. Aangezien de app specifiek is gericht op het instellen van D-30 Howitzer systemen is de kans dat deze gebruikers met deze systemen werken groot. In de praktijk helpt de app dus de locatie van artilleriesystemen te bepalen. Daarnaast is de groep in staat via de malware de communicatie te kapen van mobiele apparaten waarop de malware draait. De app in kwestie wordt via verschillende online fora verspreid onder Oekraïense soldaten en is dus niet beschikbaar in de officiële appwinkel van Google.

Broncode is niet openbaar

De broncode van de malware is voor zover bekend nooit openbaar gemaakt. Crowdstrike stelt dan ook dat de X-Agent backdoor malware vermoedelijk exclusief door Fancy Bear wordt ingezet. “We durven met zekerheid te zeggen dat degene die de DNC hack heeft uitgevoerd nauwe banden heeft met het Russische leger en waarschijnlijk de GRU”, zegt Dmitri Alperovitch, mede-oprichter en CTO van Crowdstrike. Alperovitch stelt dat de X-Agent backdoor malware aantoont op welke fascinerende wijzen Rusland ‘cyber’ inzet om op het strijdveld in Oekraïne voordeel te behalen.