Малварь для Android маскируется под антивирус для шпионажа за российским бизнесом

Недавно обнаруженная кампания шпионского ПО для Android нацелена на российских бизнесменов, маскируясь под антивирусное приложение, якобы связанное с разведывательными службами страны, согласно данным российской кибербезопасной компании Doctor Web.

Малварь, отслеживаемая как Android.Backdoor.916.origin, активна с января 2025 года и прошла через несколько версий. Ее главная угроза заключается в том, что она скрывается за маской официального приложения безопасности, предположительно от российских властей, заманивая российских бизнесменов и сотрудников в целевые атаки.

Исследователи утверждают, что бэкдор способен тайно записывать видео через камеру, фиксировать нажатия клавиш, отслеживать местоположения, красть файлы и даже извлекать данные из популярных приложений, таких как Telegram и WhatsApp, а также браузеров, таких как Gmail, Chrome и Яндекс.

Маскируется под “официальные” инструменты безопасности

Зловредное приложение распространяется через прямые сообщения в чат-приложениях, жертвы получают ссылку для загрузки в мессенджерах, ведущую к фальшивому антивирусу под названием “GuardCB”. Этот фальшивый антивирус имеет иконку, напоминающую эмблему Центрального банка Российской Федерации, чтобы добавить достоверности.

Другие варианты используют названия, такие как “SECURITY_FSB” или просто “FSB”, что предполагает связь с Федеральной службой безопасности России. Интерфейс доступен только на русском языке, подчеркивая высокую целенаправленность кампании.

“В то же время его интерфейс предоставляет только один язык – русский. То есть зловредная программа полностью ориентирована на российских пользователей,” написали исследователи Doctor Web в блоге.

“Это подтверждается другими обнаруженными модификациями с именами файлов, такими как “SECURITY_FSB”, “FSB” и другими, которые киберпреступники пытаются выдать за программы безопасности, якобы связанные с правоохранительными органами России.”

Как это работает

Фальшивый антивирус имитирует подлинные инструменты безопасности, чтобы избежать удаления, запуская имитированные сканирования. Примерно в 30% случаев он показывает ложные срабатывания, случайным образом варьируясь от 1 до 3 несуществующих угроз.

После установки приложение запрашивает обширные разрешения, включая доступ к микрофону, камере, SMS, контактам, медиафайлам, истории звонков, геолокации и даже к службе доступности Android.

Затем оно имитирует фальшивые “сканирования” антивируса, случайным образом сообщая о одной-трех “угрозах”, чтобы убедить пользователей в своей легитимности. Однако в фоновом режиме оно тихо подключается к серверу командования и управления (C2), позволяя злоумышленникам:

• Передавать аудио в реальном времени с микрофона
• Транслировать видео или экран устройства в реальном времени
• Красть контакты, SMS, журналы звонков и сохраненные фотографии
• Перехватывать введенные пароли и личные чаты
• Выполнять удаленные команды

Doctor Web отмечает, что малварь высоко целенаправленная, разработанная специально для российских пользователей и не предназначенная для массовых инфекций. Ее инфраструктура позволяет малваре вращаться по 15 различным хостинг-провайдерам, что свидетельствует о том, что ее создатели разработали ее для устойчивости и сопротивления разрушению.

Предостережения

На данный момент пользователям Android настоятельно рекомендуется загружать приложения только из доверенных источников, таких как Google Play Store, обращая внимание на разрешения, запрашиваемые приложениями, а также быть подозрительными к любому приложению, которое заявляет о себе как о правительственном инструменте безопасности.

Тем временем, Doctor Web сообщает, что их собственное антивирусное программное обеспечение обнаруживает и удаляет все известные версии шпионского ПО. В отчете, представленном компанией, также содержатся индикаторы (IoCs) компрометации, связанные с Android.Backdoor.916.origin, которые были опубликованы в репозитории GitHub.