Новая вредоносная программа для Android выдает себя за антивирус российской разведки
Новая вредоносная программа для Android, выдающая себя за антивирусное программное обеспечение, созданное Федеральной службой безопасности (ФСБ) России, используется для атак на руководителей российских предприятий.
В новом отчете российской компании Dr. Web, занимающейся безопасностью мобильных устройств, исследователи отслеживают новую шпионскую программу как «Android.Backdoor.916.origin», не обнаружив связей с известными семействами вредоносных программ.
Среди многочисленных возможностей вредоносной программы можно отметить возможность шпионить за разговорами, транслировать данные с камеры телефона, регистрировать вводимые пользователем данные с помощью кейлоггера или извлекать данные о переписке из приложений-мессенджеров.
Компания Dr. Web сообщает, что с момента первоначального обнаружения этого вредоносного ПО в январе 2025 года было обнаружено несколько его последующих версий, что свидетельствует о его постоянном развитии.
Исходя из способов распространения, методов заражения и того факта, что интерфейс вредоносной программы поддерживает только русский язык, исследователи полагают, что она была разработана для целенаправленных атак на российские компании.
Зафиксировано две основные попытки создания бренда Dr. Web: одна под названием «GuardCB», выдававшая себя за Центральный банк Российской Федерации, и две версии под названиями «SECURITY_FSB» и «ФСБ» (FSB), предположительно пытавшиеся выдать себя за программное обеспечение российской разведки.
«При этом его интерфейс предусматривает только один язык — русский. То есть вредоносная программа полностью ориентирована на российских пользователей», — сообщает Dr. Web.
Это подтверждают и другие обнаруженные модификации с именами файлов «SECURITY_FSB», «FSB» и другими, которые киберпреступники пытаются выдать за программы безопасности, якобы имеющие отношение к российским правоохранительным органам.
Хотя антивирусное средство не имеет функций, связанных с безопасностью, оно пытается имитировать настоящее средство безопасности, чтобы не дать жертве удалить его со своего устройства.
Поддельное антивирусное сканирование в приложении
Источник: Dr. Web
Когда пользователь нажимает кнопку «Сканировать», интерфейс отображает симуляцию, запрограммированную на возврат ложноположительного результата в 30% случаев, при этом количество ложных обнаружений варьируется (случайным образом) от 1 до 3.
После установки вредоносная программа запрашивает предоставление нескольких высокорисковых разрешений, таких как геолокация, доступ к SMS и медиафайлам, запись камеры и звука, служба специальных возможностей и разрешение на постоянную работу в фоновом режиме.
Разрешение на удаление всех данных и изменение экрана блокировки (слева) и настроек специальных возможностей (справа)
Источник: Dr. Web
Затем он запускает несколько служб, через которые он подключается к центру управления и контроля (C2) для получения команд, таких как:
- Извлеките SMS, контакты, историю звонков, геолокацию и сохраненные изображения.
- Активируйте микрофон, камеру и трансляцию экрана
- Захватывайте вводимый текст и содержимое мессенджеров или браузеров (приложения Telegram, WhatsApp, Gmail, Chrome, Яндекс.Дзен)
- Выполнять команды оболочки, сохранять персистентность и включать самозащиту
Dr. Web обнаружил, что вредоносная программа может переключаться между 15 провайдерами хостинга, и хотя эта функция в настоящее время неактивна, это свидетельствует о том, что вредоносная программа разработана с расчетом на устойчивость.
Аналитики опубликовали полные индикаторы компрометации, связанные с Android.Backdoor.916.origin, в этом репозитории GitHub.
Редактор: AndreyEx
