Le malware Android se fait passer pour un antivirus pour espionner les entreprises russes

Une campagne de logiciels espions Android récemment découverte cible les dirigeants d’entreprises russes, déguisée en application antivirus prétendument liée aux services de renseignement du pays, selon la société de cybersécurité russe Doctor Web.

Le malware, suivi sous le nom Android.Backdoor.916.origin, est actif depuis janvier 2025 et a évolué à travers plusieurs versions. Sa plus grande menace réside dans le fait qu’il se cache derrière le masque d’une application de sécurité ayant l’apparence officielle, supposément des autorités russes, attirant les dirigeants et employés d’entreprises russes dans des attaques ciblées.

Les chercheurs affirment que la porte dérobée est capable d’enregistrer secrètement des vidéos via la caméra, d’enregistrer les frappes au clavier, de suivre les emplacements, de voler des fichiers et même d’extraire des données d’applications populaires comme Telegram et WhatsApp, ainsi que de navigateurs tels que Gmail, Chrome et Yandex.

Déguisé en outils de sécurité “officiels”

L’application malveillante est distribuée par le biais de messages directs dans des applications de chat, les victimes recevant un lien de téléchargement dans des applications de messagerie, menant à un faux antivirus appelé “GuardCB”. Cet antivirus factice présente une icône ressemblant à l’emblème de la Banque centrale de la Fédération de Russie pour ajouter de la crédibilité.

D’autres variantes utilisent des noms tels que “SECURITY_FSB” ou simplement “FSB” — suggérant un lien avec le Service fédéral de sécurité de la Russie. L’interface n’est disponible qu’en russe, soulignant la nature hautement ciblée de la campagne.

“En même temps, son interface ne propose qu’une seule langue – le russe. C’est-à-dire que le programme malveillant est entièrement axé sur les utilisateurs russes,” ont écrit les chercheurs de Doctor Web dans un article de blog.

“Cela est confirmé par d’autres modifications détectées avec des noms de fichiers tels que “SECURITY_FSB”, “FSB” et d’autres, que les cybercriminels essaient de faire passer pour des programmes de sécurité prétendument liés aux agences de sécurité russes.”

Comment ça fonctionne

Le faux antivirus imite de véritables outils de sécurité pour éviter d’être supprimé en exécutant des analyses simulées. Environ 30 % du temps, il affiche de faux positifs, variant aléatoirement entre 1 et 3 menaces inexistantes.

Une fois installé, l’application demande des autorisations étendues, y compris l’accès au microphone, à la caméra, aux SMS, aux contacts, aux fichiers multimédias, à l’historique des appels, à la géolocalisation, et même au service d’accessibilité d’Android.

Elle simule ensuite de fausses “analyses” antivirus, rapportant aléatoirement une à trois “menaces” pour convaincre les utilisateurs de sa légitimité. Cependant, en arrière-plan, elle se connecte discrètement à un serveur de commande et de contrôle (C2), permettant aux attaquants de :

• Diffuser de l’audio en direct depuis le microphone
• Diffuser de la vidéo ou l’écran de l’appareil en temps réel
• Voler des contacts, des SMS, des journaux d’appels et des photos stockées
• Intercepter les mots de passe tapés et les discussions privées
• Exécuter des commandes à distance

Doctor Web note que le malware est hautement ciblé, conçu spécifiquement pour les utilisateurs russes, et n’est pas destiné à des infections de masse. Son infrastructure permet au malware de se déplacer à travers 15 fournisseurs d’hébergement différents, un signe que ses créateurs l’ont conçu pour la persistance et la résistance à la perturbation.

Précautions

Pour l’instant, les utilisateurs Android sont invités à télécharger des applications uniquement à partir de sources fiables telles que le Google Play Store, en prêtant attention aux autorisations demandées par les applications, et à se méfier de toute application prétendant être un outil de sécurité gouvernemental.

Pendant ce temps, Doctor Web affirme que son propre logiciel antivirus détecte et supprime toutes les versions connues du logiciel espion. Le rapport partagé par la société comprend également les indicateurs (IoCs) de compromission liés à Android.Backdoor.916.origin, qui ont été publiés sur le dépôt GitHub.