Android-бэкдор шпионит за сотрудниками российского бизнеса

Горячая лента угроз | «Горячие» новости | О мобильных угрозах | Все новости

12 августа 2025 года

Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа способна выполнять множество команд злоумышленников и обладает обширными возможностями для слежки и кражи данных. Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли.

Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за эволюцией этого ВПО и выявила ряд его версий (информация о них представлена в соответствующих индикаторах компрометации). Эксперты нашей компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.

Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.

#drweb #drweb

Значки вредоносного приложения вводят потенциальных жертв в заблуждение

Никаких защитных функций в программе на самом деле нет. В процессе работы Android.Backdoor.916.origin имитирует антивирусное сканирование устройства, при этом вероятность «обнаружения» угроз в нем запрограммирована. Чем больше времени проходит с момента последнего «сканирования», тем она выше, но не более 30%. Количество якобы выявленных угроз определяется случайным образом и составляет от 1 до 3.

#drweb #drweb

При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений:

  • к геолокации;
  • к записи аудио;
  • к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков;
  • к камере (создание фотографий и запись видео);
  • к разрешению на работу в фоновом режиме;
  • к правам администратора устройства;
  • к специальным возможностям (Accessibility Service).
#drweb
#drweb
#drweb
#drweb

Примеры запрашиваемых разрешений

Далее вредоносная программа запускает несколько собственных сервисов и ежеминутно проверяет их активность, при необходимости запуская вновь. Через них бэкдор подключается к C2-серверу и получает от него множество различных команд. Среди них:

  • отправить на сервер входящие и исходящие СМС-сообщения;
  • отправить на сервер список контактов;
  • отправить на сервер список телефонных вызовов;
  • отправить на сервер данные геолокации;
  • начать или остановить потоковую трансляцию звука с микрофона устройства;
  • начать или остановить потоковую трансляцию видео с камеры устройства;
  • начать или остановить трансляцию с экрана устройства;
  • отправить на сервер все изображения, которые хранятся на карте памяти;
  • отправить на сервер изображения с карты памяти по заданному диапазону имен;
  • отправить на сервер заданное изображение с карты памяти;
  • включить или отключить самозащиту бэкдора;
  • выполнить полученную shell-команду;
  • отправить на сервер информацию о сети и интерфейсах устройства.

Трансляция разных типов данных, получаемых бэкдором, выполняется на отдельные порты управляющего сервера.

Android.Backdoor.916.origin использует службу специальных возможностей (Accessibility Service) для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы:

  • Telegram
  • Google Chrome
  • Gmail
  • Яндекс Старт
  • Яндекс Браузер
  • WhatsApp

Если от злоумышленников поступает соответствующая команда, бэкдор также использует службу специальных возможностей для защиты себя от удаления.

В Android.Backdoor.916.origin предусмотрена возможность работы с большим числом управляющих серверов, информация о которых расположена в его конфигурации. Кроме того, в нем предусмотрена возможность переключения между хостинг-провайдерами, число которых доходит до 15, однако в настоящее время такая функциональность не задействована. Антивирусная лаборатория «Доктор Веб» уведомила регистраторов доменов о соответствующих нарушениях.

Антивирус Dr.Web для мобильных устройств Android успешно обнаруживает и удаляет все известные модификации Android.Backdoor.916.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.916.origin

Индикаторы компрометации

0
Последние новости Все новости