Malware Android Se Faz Passar por Antivírus para Espionar Empresas Russas

Uma nova campanha de spyware Android descoberta está mirando executivos de empresas russas, disfarçada como um aplicativo antivírus supostamente ligado aos serviços de inteligência do país, de acordo com a empresa russa de cibersegurança Doctor Web.

O malware, rastreado como Android.Backdoor.916.origin, está ativo desde janeiro de 2025 e evoluiu através de várias versões. Sua maior ameaça reside no fato de que se esconde atrás da máscara de um aplicativo de segurança com aparência oficial, supostamente das autoridades russas, atraindo executivos e funcionários de empresas russas para ataques direcionados.

Pesquisadores afirmam que a backdoor é capaz de gravar vídeos secretamente através da câmera, registrar pressionamentos de teclas, rastrear localizações, roubar arquivos e até extrair dados de aplicativos populares como Telegram e WhatsApp, bem como navegadores como Gmail, Chrome e Yandex.

Disfarçado como Ferramentas de Segurança “Oficiais”

O aplicativo malicioso está sendo distribuído através de mensagens diretas em aplicativos de chat, com as vítimas recebendo um link de download em aplicativos de mensageiro, levando a um falso antivírus chamado “GuardCB”. Este falso antivírus apresenta um ícone que se assemelha ao emblema do Banco Central da Federação Russa para adicionar credibilidade.

Outras variantes usam nomes como “SECURITY_FSB” ou simplesmente “FSB” — sugerindo uma conexão com o Serviço Federal de Segurança da Rússia. A interface está disponível apenas em russo, sublinhando a natureza altamente direcionada da campanha.

“Ao mesmo tempo, sua interface fornece apenas um idioma – russo. Ou seja, o programa malicioso é totalmente focado em usuários russos”, escreveram os pesquisadores da Doctor Web em um post no blog.

“Isto é confirmado por outras modificações detectadas com nomes de arquivos como “SECURITY_FSB”, “FSB” e outros, que os cibercriminosos estão tentando passar como programas de segurança supostamente relacionados a agências de aplicação da lei russas.”

Como Funciona

O falso antivírus imita ferramentas de software de segurança genuínas para evitar remoção, executando varreduras simuladas. Aproximadamente 30% do tempo, ele exibe falsos positivos, variando aleatoriamente entre 1 e 3 ameaças inexistentes.

Uma vez instalado, o aplicativo solicita permissões extensivas, incluindo acesso ao microfone, câmera, SMS, contatos, arquivos de mídia, histórico de chamadas, geolocalização e até mesmo o Serviço de Acessibilidade do Android.

Em seguida, simula “varreduras” de antivírus falsas, relatando aleatoriamente uma a três “ameaças” para convencer os usuários de que é legítimo. No entanto, em segundo plano, ele se conecta silenciosamente a um servidor de comando e controle (C2), permitindo que os atacantes:

• Transmitam áudio ao vivo do microfone
• Transmitam vídeo ou a tela do dispositivo em tempo real
• Rouben contatos, SMS, registros de chamadas e fotos armazenadas
• Interceptem senhas digitadas e chats privados
• Executem comandos remotos

A Doctor Web observa que o malware é altamente direcionado, projetado especificamente para usuários russos, e não destinado a infecções em massa. Sua infraestrutura permite que o malware gire entre 15 diferentes provedores de hospedagem, um sinal de que seus criadores o projetaram para persistência e resistência à interrupção.

Precauções

Por enquanto, os usuários de Android são aconselhados a baixar aplicativos apenas de fontes confiáveis, como a Google Play Store, prestando atenção às permissões solicitadas pelos aplicativos, e também a desconfiar de qualquer aplicativo que afirme ser uma ferramenta de segurança do governo.

Enquanto isso, a Doctor Web afirma que seu próprio software antivírus detecta e remove todas as versões conhecidas do spyware. O relatório compartilhado pela empresa também inclui os indicadores (IoCs) de comprometimento relacionados ao Android.Backdoor.916.origin, que foram publicados no repositório do GitHub.