Android-бэкдор шпионит за сотрудниками российского бизнеса
Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа способна выполнять множество команд злоумышленников и обладает обширными возможностями для слежки и кражи данных. Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли
Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за эволюцией этого ВПО и выявила ряд его версий (информация о них представлена в соответствующих индикаторах компрометации). Эксперты нашей компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.
Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.
Значки вредоносного приложения вводят потенциальных жертв в заблуждение
Никаких защитных функций в программе на самом деле нет. В процессе работы Android.Backdoor.916.origin имитирует антивирусное сканирование устройства, при этом вероятность «обнаружения» угроз в нем запрограммирована. Чем больше времени проходит с момента последнего «сканирования», тем она выше, но не более 30%. Количество якобы выявленных угроз определяется случайным образом и составляет от 1 до 3.
При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений:
к геолокации;
к записи аудио;
к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков;
к камере (создание фотографий и запись видео);
к разрешению на работу в фоновом режиме;
к правам администратора устройства;
к специальным возможностям (Accessibility Service).
Примеры запрашиваемых разрешений
Далее вредоносная программа запускает несколько собственных сервисов и ежеминутно проверяет их активность, при необходимости запуская вновь. Через них бэкдор подключается к C2-серверу и получает от него множество различных команд. Среди них:
отправить на сервер входящие и исходящие СМС-сообщения;
отправить на сервер список контактов;
отправить на сервер список телефонных вызовов;
отправить на сервер данные геолокации;
начать или остановить потоковую трансляцию звука с микрофона устройства;
начать или остановить потоковую трансляцию видео с камеры устройства;
начать или остановить трансляцию с экрана устройства;
отправить на сервер все изображения, которые хранятся на карте памяти;
отправить на сервер изображения с карты памяти по заданному диапазону имен;
отправить на сервер заданное изображение с карты памяти;
включить или отключить самозащиту бэкдора;
выполнить полученную shell-команду;
отправить на сервер информацию о сети и интерфейсах устройства.
Трансляция разных типов данных, получаемых бэкдором, выполняется на отдельные порты управляющего сервера.
Android.Backdoor.916.origin использует службу специальных возможностей (Accessibility Service) для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы:
Telegram
Google Chrome
Gmail
Яндекс Старт
Яндекс Браузер
WhatsApp
Если от злоумышленников поступает соответствующая команда, бэкдор также использует службу специальных возможностей для защиты себя от удаления.
В Android.Backdoor.916.origin предусмотрена возможность работы с большим числом управляющих серверов, информация о которых расположена в его конфигурации. Кроме того, в нем предусмотрена возможность переключения между хостинг-провайдерами, число которых доходит до 15, однако в настоящее время такая функциональность не задействована. Антивирусная лаборатория «Доктор Веб» уведомила регистраторов доменов о соответствующих нарушениях.
Антивирус Dr.Web для мобильных устройств Android успешно обнаруживает и удаляет все известные модификации Android.Backdoor.916.origin, поэтому для наших пользователей он опасности не представляет.
Материал подготовлен:
Доктор Веб
Ваши контактные данные не публикуются на сайте.