Российская компания Dr. Web выявила новую угрозу для пользователей мобильных устройств на базе Android. Вредоносное ПО, известное под кодовым названием Android.Backdoor.916.origin, маскируется под антивирусное приложение, якобы разработанное Федеральной службой безопасности России (ФСБ). Целевой аудиторией атаки стали руководители и владельцы бизнесов в России.
Основные характеристики вредоноса
Программное обеспечение имеет крайне широкий функционал. Оно способно выступать в роли шпиона, подслушивать разговоры, вести видеонаблюдение через камеру телефона, записывать аудио, фиксировать нажатия клавиш и извлекать данные из мессенджеров. Вредоносное ПО не связано с уже известными семейства вирусов, что затрудняет его обнаружение и удаление.
Исследователи компании Dr. Web заметили, что с января 2025 года было зафиксировано несколько обновлений Android.Backdoor.916.origin, что свидетельствует о его активной доработке. Зловред распространяется в основном среди русскоязычных пользователей. Существуют две основные версии программного обеспечения: "GuardCB" и "SECURITY_FSB" (или "ФСБ"), выдающие себя, соответственно, за Центральный банк Российской Федерации и ФСБ.
Механизм работы и воздействия
После установки вредоносное ПО требует предоставления высоких привилегий: доступ к геолокации, SMS, медиафайлам, камере и микрофону, а также права администратора устройства. Эти разрешения позволяют зловреду действовать практически свободно, включая сбор информации о местоположении устройства, истории звонков, контактных данных и содержания мессенджеров. Также он может записывать всё, что вводится с клавиатуры, и даже переключаться между провайдерами хостинга для поддержания своей активности.
Симуляция процесса сканирования и выдача ложных результатов обнаружения чуть ли не в 30% случаев — одна из тактик для убеждения пользователей в безопасности данного ПО, чтобы они не спешили его удалять. Подобная тактика только укрепляет позиции вредоноса на устройстве, помогая ему дольше оставаться незамеченным.
Реакция специалистов и рекомендации
Dr. Web опубликовала специальные индикаторы компрометации для Android.Backdoor.916.origin, что позволит специалистам по безопасности быстрее идентифицировать следы его присутствия на устройствах. Использование современного антивирусного программного обеспечения и отказ от установки подозрительных приложений — основная рекомендация для предотвращения угрозы.
