Investigadores han detectado lo que creen que es el primer caso registrado de malware para Android distribuido por el prolífico grupo de hacking ruso patrocinado por el Estado, Turla.

También conocido como Venomous Bear, entre otros muchos apodos, el grupo APT está vinculado al Servicio Federal de Seguridad de Rusia (FSB), sucesor del KGB.

Como tal, actualmente está involucrado en operaciones dirigidas a las fuerzas ucranianas y a los activistas pro-ucranianos, muchos de los cuales han sido animados a alistarse en un «ejército informático» voluntario para realizar ataques DDoS a activos rusos.

Para ello, se anima a algunos a utilizar aplicaciones como StopWar, una aplicación para Android diseñada para facilitar a los partidarios de Ucrania el ataque DDoS a sitios rusos preseleccionados directamente desde su smartphone.

Es esta aplicación, detectada por el Grupo de Análisis de Amenazas (TAG) de Google en marzo, la que el grupo Turla ha suplantado ahora en un intento de infectar a los usuarios con malware.

Las aplicaciones en cuestión están alojadas en un dominio que imita al Regimiento Azov ucraniano, una unidad de infantería de extrema derecha que actualmente lucha en el frente.

No está claro cuál es la carga útil maliciosa final, y en cualquier caso Leonard explicó que el número de instalaciones hasta ahora ha sido «minúsculo». Sin embargo, la táctica pone de manifiesto las variadas medidas y contramedidas que ambos bandos están utilizando en un intento de ganar la ciberguerra.

En marzo, los investigadores de seguridad advirtieron a los activistas pro-ucranianos de que tuvieran cuidado al descargar herramientas DDoS de Internet, ya que podían llevar trampas con malware ruso para robar información.