Android-Malware gibt sich als Antivirus aus, um russische Unternehmen auszuspionieren

Eine neu entdeckte Android-Spionagekampagne zielt auf russische Unternehmensleiter ab und gibt sich als Antivirus-App aus, die angeblich mit den Geheimdiensten des Landes verbunden ist, so die russische Cybersicherheitsfirma Doctor Web.

Die Malware, die als Android.Backdoor.916.origin verfolgt wird, ist seit Januar 2025 aktiv und hat sich durch mehrere Versionen weiterentwickelt. Die größte Bedrohung besteht darin, dass sie sich hinter der Maske einer offiziell aussehenden Sicherheits-App versteckt, die angeblich von russischen Behörden stammt, und russische Unternehmensleiter und Mitarbeiter in gezielte Angriffe lockt.

Forscher sagen, dass die Hintertür in der Lage ist, heimlich Video über die Kamera aufzunehmen, Tastenanschläge zu protokollieren, Standorte zu verfolgen, Dateien zu stehlen und sogar Daten aus beliebten Apps wie Telegram und WhatsApp sowie aus Browsern wie Gmail, Chrome und Yandex abzurufen.

Getarnt als „offizielle“ Sicherheitswerkzeuge

Die bösartige App wird über Direktnachrichten in Chat-Apps verteilt, wobei die Opfer einen Download-Link in Messenger-Apps erhalten, der zu einem gefälschten Antivirus namens „GuardCB“ führt. Dieses gefälschte Antivirus hat ein Symbol, das dem Emblem der Zentralbank der Russischen Föderation ähnelt, um Glaubwürdigkeit zu verleihen.

Andere Varianten verwenden Namen wie „SECURITY_FSB“ oder einfach „FSB“ – was auf eine Verbindung zum Föderalen Sicherheitsdienst Russlands hindeutet. Die Benutzeroberfläche ist nur auf Russisch verfügbar, was die hochgradig gezielte Natur der Kampagne unterstreicht.

„Gleichzeitig bietet seine Benutzeroberfläche nur eine Sprache – Russisch. Das heißt, das bösartige Programm ist vollständig auf russische Benutzer ausgerichtet“, schrieben die Forscher von Doctor Web in einem Blogbeitrag.

„Dies wird durch andere entdeckte Modifikationen mit Dateinamen wie „SECURITY_FSB“, „FSB“ und anderen bestätigt, die Cyberkriminelle als Sicherheitsprogramme ausgeben, die angeblich mit russischen Strafverfolgungsbehörden in Verbindung stehen.“

Wie es funktioniert

Das gefälschte Antivirus imitiert echte Sicherheitssoftware-Tools, um eine Deinstallation zu vermeiden, indem es simulierte Scans durchführt. Etwa 30 % der Zeit zeigt es falsch-positive Ergebnisse an, die zufällig zwischen 1 und 3 nicht existierenden Bedrohungen variieren.

Sobald die App installiert ist, fordert sie umfangreiche Berechtigungen an, einschließlich Zugriff auf das Mikrofon, die Kamera, SMS, Kontakte, Mediendateien, Anrufprotokolle, Geolokalisierung und sogar den Accessibility-Service von Android.

Anschließend simuliert sie gefälschte Antivirus-„Scans“ und meldet zufällig ein bis drei „Bedrohungen“, um die Benutzer zu überzeugen, dass sie legitim ist. Im Hintergrund verbindet sie sich jedoch stillschweigend mit einem Command-and-Control (C2)-Server, der es Angreifern ermöglicht:

• Live-Audio vom Mikrofon zu streamen
• Video oder den Bildschirm des Geräts in Echtzeit zu übertragen
• Kontakte, SMS, Anrufprotokolle und gespeicherte Fotos zu stehlen
• Eingetippte Passwörter und private Chats abzufangen
• Remote-Befehle auszuführen

Doctor Web weist darauf hin, dass die Malware hochgradig zielgerichtet ist, speziell für russische Benutzer entwickelt wurde und nicht für Masseninfektionen gedacht ist. Ihre Infrastruktur ermöglicht es der Malware, über 15 verschiedene Hosting-Anbieter zu rotieren, ein Zeichen dafür, dass ihre Schöpfer sie für Persistenz und Widerstandsfähigkeit gegen Störungen konzipiert haben.

Vorsichtsmaßnahmen

Für den Moment werden Android-Benutzer aufgefordert, Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store herunterzuladen, auf die von Apps angeforderten Berechtigungen zu achten und auch misstrauisch gegenüber jeder App zu sein, die behauptet, ein Sicherheitswerkzeug der Regierung zu sein.

In der Zwischenzeit sagt Doctor Web, dass seine eigene Antivirensoftware alle bekannten Versionen der Spionagesoftware erkennt und entfernt. Der von der Firma geteilte Bericht enthält auch die Indikatoren (IoCs) für Kompromittierungen, die mit Android.Backdoor.916.origin in Verbindung stehen und im GitHub-Repository veröffentlicht wurden.