Приложение собирает геолокационные данные, а также информацию о владельце устройства и отправляет собранные сведения на удаленный сервер.
Компания Google удалила из магазина Google Play Store приложение под названием NEXTA LIVE, которое использовалось для сбора персональных данных жителей Беларуси, принимающих участие в антиправительственных протестах.
Приложение NEXTA LIVE (com.moonfair[.]wlkm) находилось в интернет-каталоге на протяжении почти трех недель. В аннотации к приложению указывалось, что NEXTA LIVE является официальным Android-приложением новостного агентства NEXTA, набравшего популярность в связи с протестами в Беларуси. Однако в сообщении в Telegram представители канала заявили, что приложение не имеет никакого отношения к сервису и было разработано для сбора данных пользователей и деанонимизации протестующих. В связи с этим пользователям настоятельно рекомендуется удались программу со своих устройств.
По словам ИБ-исследователя из Беларуси, пожелавшего сохранить анонимность, приложение собирает геолокационные данные, а также информацию о владельце устройства и отправляет собранные сведения на удаленный сервер.
По данным ИБ-эксперта Габриэля Цирлига (Gabriel Cîrlig), также проанализировавшего приложение, программа связывается с доменом с российским IP-адресом arcpi.nextialive.roimaster[.]site (89.223.89[.]47). Ни домен, ни IP-адрес не числятся в списках угроз и, судя по всему, не имеют отношения к вредоносным кампаниям. Тем не менее, пишет ZDNet, этот же IP-адрес использовался для хостинга других подозрительных доменов.
Гравитация научных фактов сильнее, чем вы думаете