El malware de Android se disfraza de antivirus para espiar a empresas rusas

Una nueva campaña de spyware para Android, descubierta recientemente, está dirigida a ejecutivos de empresas rusas, disfrazada como una aplicación antivirus supuestamente vinculada a los servicios de inteligencia del país, según la firma de ciberseguridad rusa Doctor Web.

El malware, rastreado como Android.Backdoor.916.origin, ha estado activo desde enero de 2025 y ha evolucionado a través de múltiples versiones. Su mayor amenaza radica en el hecho de que se oculta detrás de la máscara de una aplicación de seguridad con apariencia oficial, supuestamente de las autoridades rusas, atrayendo a ejecutivos y empleados de empresas rusas hacia ataques dirigidos.

Los investigadores dicen que la puerta trasera es capaz de grabar video en secreto a través de la cámara, registrar pulsaciones de teclas, rastrear ubicaciones, robar archivos e incluso extraer datos de aplicaciones populares como Telegram y WhatsApp, así como de navegadores como Gmail, Chrome y Yandex.

Disfrazado como herramientas de seguridad “oficiales”

La aplicación maliciosa se distribuye a través de mensajes directos en aplicaciones de chat, con las víctimas recibiendo un enlace de descarga en aplicaciones de mensajería, que conduce a un falso antivirus llamado “GuardCB”. Este falso antivirus presenta un ícono que se asemeja al emblema del Banco Central de la Federación Rusa para añadir credibilidad.

Otras variantes utilizan nombres como “SECURITY_FSB” o simplemente “FSB”, sugiriendo una conexión con el Servicio Federal de Seguridad de Rusia. La interfaz está disponible solo en ruso, subrayando la naturaleza altamente dirigida de la campaña.

“Al mismo tiempo, su interfaz proporciona solo un idioma: ruso. Es decir, el programa malicioso está completamente enfocado en los usuarios rusos”, escribieron los investigadores de Doctor Web en una publicación de blog.

“Esto es confirmado por otras modificaciones detectadas con nombres de archivo como ‘SECURITY_FSB’, ‘FSB’ y otros, que los cibercriminales intentan hacer pasar como programas de seguridad supuestamente relacionados con agencias de aplicación de la ley rusas.”

Cómo funciona

El falso antivirus imita herramientas de software de seguridad genuinas para evitar su eliminación al ejecutar análisis simulados. Aproximadamente el 30% del tiempo, muestra falsos positivos, variando aleatoriamente entre 1 y 3 amenazas inexistentes.

Una vez instalado, la aplicación solicita permisos extensos, incluyendo acceso al micrófono, cámara, SMS, contactos, archivos multimedia, historial de llamadas, geolocalización e incluso el Servicio de Accesibilidad de Android.

Luego simula “análisis” de antivirus falsos, informando aleatoriamente de una a tres “amenazas” para convencer a los usuarios de que es legítimo. Sin embargo, en segundo plano, se conecta silenciosamente a un servidor de comando y control (C2), permitiendo a los atacantes:

• Transmitir audio en vivo desde el micrófono
• Transmitir video o la pantalla del dispositivo en tiempo real
• Robar contactos, SMS, registros de llamadas y fotos almacenadas
• Interceptar contraseñas escritas y chats privados
• Ejecutar comandos remotos

Doctor Web señala que el malware está altamente dirigido, diseñado específicamente para usuarios rusos y no destinado a infecciones masivas. Su infraestructura permite que el malware rote a través de 15 diferentes proveedores de alojamiento, una señal de que sus creadores lo diseñaron para la persistencia y resistencia a la interrupción.

Precauciones

Por ahora, se insta a los usuarios de Android a descargar aplicaciones solo de fuentes confiables como Google Play Store, prestando atención a los permisos solicitados por las aplicaciones, y también a ser sospechosos de cualquier aplicación que afirme ser una herramienta de seguridad gubernamental.

Mientras tanto, Doctor Web dice que su propio software antivirus detecta y elimina todas las versiones conocidas del spyware. El informe compartido por la empresa también incluye los indicadores (IoCs) de compromiso relacionados con Android.Backdoor.916.origin, que ha sido publicado en el repositorio de GitHub.