Недавно обнаруженное специалистами Doctor Web вредоносное ПО для Android, известное как Android.Backdoor.916.origin, распространяется через приложение под названием GuardCB. Это приложение представляет собой фальшивое антивирусное решение, нацеленное, в первую очередь, на российский бизнес-сектор.
Масштабы угрозы
GuardCB, появившийся в начале 2025 года, продемонстрировал целый ряд шпионских функций. Его интерфейс имеет исключительно русский язык, что указывает на целевую аудиторию приложения. Более того, логотип программы напоминает эмблему Центрального банка России, что призвано ввести пользователей в заблуждение. Различные версии этого же зловреда распространялись под названием, ассоциирующимися с государственными структурами, такими как SECURITY_FSB и FSB.
GuardCB запрашивает весьма обширный список разрешений: от получения доступа к местоположению устройства, микрофону и камере до доступа к сообщениям, журналам вызовов и контактам. Приложение также стремится к доступу к популярным приложениям, таким как WhatsApp, Telegram, Chrome, Gmail и Yandex, что позволяет злоумышленникам просматривать и записывать коммуникации, отслеживать геолокацию и взаимодействовать с устройством в режиме реального времени.
Меры предосторожности
Для придания видимости законности GuardCB симулирует антивирусное сканирование и генерирует ложные результаты угроз, якобы очищая от одной до трех найденных угроз. Пока что зловред не был связан с каким-либо известным лицом или организацией, и нет уверенности, что за этим стоит шпионская операция, тем не менее уровень доступа к устройству, запрашиваемого приложением, действительно вызывает озабоченность.
Обнаружение GuardCB происходит на фоне обострения киберконфликтов в регионе, в котором прокремлёвские группы активно атакуют российские сети. Эта ситуация подчеркивает растущую сложность мобильных инструментов для наблюдения и рисков, которые они представляют как для организаций, так и для национальной безопасности.
