Il malware Android si finge antivirus per spiare le aziende russe

Una nuova campagna di spyware Android scoperta sta prendendo di mira i dirigenti aziendali russi, travestendosi da app antivirus presumibilmente collegata ai servizi di intelligence del paese, secondo la società di cybersecurity russa Doctor Web.

Il malware, tracciato come Android.Backdoor.916.origin, è attivo da gennaio 2025 e si è evoluto attraverso più versioni. La sua maggiore minaccia risiede nel fatto che si nasconde dietro la maschera di un’app di sicurezza dall’aspetto ufficiale, suppostamente delle autorità russe, attirando i dirigenti e i dipendenti delle aziende russe in attacchi mirati.

I ricercatori affermano che il backdoor è in grado di registrare segretamente video attraverso la fotocamera, registrare le battiture, tracciare le posizioni, rubare file e persino estrarre dati da app popolari come Telegram e WhatsApp, così come dai browser come Gmail, Chrome e Yandex.

Travestito da strumenti di sicurezza “ufficiali”

L’app malevola viene distribuita attraverso messaggi diretti in app di chat, con le vittime che ricevono un link per il download in app di messaggistica, portando a un falso antivirus chiamato “GuardCB”. Questo falso antivirus presenta un’icona che somiglia all’emblema della Banca Centrale della Federazione Russa per aggiungere credibilità.

Altre varianti utilizzano nomi come “SECURITY_FSB” o semplicemente “FSB” — suggerendo un collegamento con il Servizio di Sicurezza Federale della Russia. L’interfaccia è disponibile solo in russo, sottolineando la natura altamente mirata della campagna.

“Nel contempo, la sua interfaccia fornisce solo una lingua – il russo. Cioè, il programma malevolo è interamente focalizzato sugli utenti russi,” hanno scritto i ricercatori di Doctor Web in un post sul blog.

“Questo è confermato da altre modifiche rilevate con nomi di file come “SECURITY_FSB”, “FSB” e altri, che i criminali informatici stanno cercando di spacciare come programmi di sicurezza presumibilmente legati alle agenzie di enforcement russe.”

Come funziona

Il falso antivirus imita veri strumenti software di sicurezza per evitare la rimozione eseguendo scansioni simulate. Circa il 30% delle volte, mostra falsi positivi, variando casualmente tra 1 e 3 minacce inesistenti.

Una volta installata, l’app richiede ampie autorizzazioni, inclusi accesso al microfono, fotocamera, SMS, contatti, file multimediali, cronologia delle chiamate, geolocalizzazione e persino il Servizio di Accessibilità di Android.

Simula quindi “scansioni” antivirus false, segnalando casualmente da una a tre “minacce” per convincere gli utenti della sua legittimità. Tuttavia, in background, si connette silenziosamente a un server di comando e controllo (C2), consentendo agli attaccanti di:

• Trasmettere audio dal vivo dal microfono
• Trasmettere video o lo schermo del dispositivo in tempo reale
• Rubare contatti, SMS, registri delle chiamate e foto memorizzate
• Intercettare password digitate e chat private
• Eseguire comandi remoti

Doctor Web osserva che il malware è altamente mirato, progettato specificamente per utenti russi, e non destinato a infezioni di massa. La sua infrastruttura consente al malware di ruotare tra 15 diversi fornitori di hosting, un segno che i suoi creatori lo hanno progettato per la persistenza e la resistenza alle interruzioni.

Precauzioni

Per ora, si invita gli utenti Android a scaricare app solo da fonti affidabili come il Google Play Store, prestando attenzione alle autorizzazioni richieste dalle app, e a diffidare di qualsiasi app che affermi di essere uno strumento di sicurezza governativo.

Nel frattempo, Doctor Web afferma che il proprio software antivirus rileva e rimuove tutte le versioni note dello spyware. Il rapporto condiviso dalla società include anche gli indicatori (IoCs) di compromissione relativi a Android.Backdoor.916.origin, che sono stati pubblicati nel repository di GitHub.