Новый Android-вредонос мимикрирует под антивирус ФСБ

Специалисты по мобильной безопасности из компании Dr. Web обнаружили новую угрозу в виде вредоносной программы для Android, выдающей себя за антивирусное приложение от российской ФСБ. Данный malware был идентифицирован как Android.Backdoor.916.origin и, как отмечают исследователи, не имеет связи с известными семействами шпионских программ.

Целью этой программы являются руководители российских компаний, а её распространение ведется исключительно на русском языке. Основные версии вредоносного ПО включают поддельные бренды «GuardCB», которым претендуется на Центральный банк Российской Федерации, и варианты под названиями «SECURITY_FSB» и «ФСБ», выдающие себя за программы безопасности, связанные с этим ведомством.

Высокий риск разрешений

Сразу после установки приложение требует множество опасных разрешений, включая доступ к геолокации, SMS и медиафайлам, запись аудио и видео, возможность изменения экрана блокировки и запуск в фоновом режиме. Эти полномочия позволяют подключаться к управляющим серверам для получения дальнейших инструкций.

Возможности вредоносной программы впечатляют: она способна кражи и передачи данных о SMS, контактах, истории звонков, геолокационной информации и сохраненных изображениях. Программа может активировать микрофон, камеру, вести запись экрана и захватывать введенный текст и контент из приложений – таких как Telegram, WhatsApp, Gmail, а также из браузеров Chrome и Yandex.

Наряду с другими функциональными особенностями, Android.Backdoor.916.origin может выполнять командные оболочные команды, поддерживать постоянное присутствие в системе и использовать механизмы самозащиты.

Вредоносное ПО, по данным Dr. Web, способно переключаться между 15 различными хостингами, что свидетельствует о высокой степени устойчивости и сложности в его обнаружении и удалении. Аналитики компании также предоставили индикаторы компрометации для данной программы, специально разработанной для атак на Android устройства.

Обновлено: 26.08.2025