На экране — поиск угроз, по факту — тотальная слежка. Антивирус с гербом РФ оказался шпионом

leer en español

Android.Backdoor.916.origin Android Dr.Web GuardCB ЦБ РФ ФСБ кейлоггер
На экране — поиск угроз, по факту — тотальная слежка. Антивирус с гербом РФ оказался шпионом
Android.Backdoor.916.origin Android Dr.Web GuardCB ЦБ РФ ФСБ кейлоггер

Поддельная защита превратилась в идеальный инструмент киберразведки.

image

Вредоносная программа Android.Backdoor.916.origin, обнаруженная исследовательской лабораторией «Доктор Веб», нацелена на корпоративный сегмент в России и обладает широкими возможностями для слежки и похищения данных. Её основная задача — не массовое заражение, а точечные атаки против сотрудников российских компаний. Первые образцы вредоносного ПО появились в январе 2025 года, после чего специалисты отслеживали развитие и эволюцию всех обнаруженных вариантов этой угрозы.

Распространение трояна осуществляется через личные сообщения в мессенджерах. Жертве отправляется APK-файл, замаскированный под антивирус под названием «GuardCB». Значок приложения имитирует герб Центрального банка России, размещённый на фоне щита, а интерфейс полностью русскоязычный. Это подчёркивает ориентированность вредоноса исключительно на пользователей из России. Также фиксировались другие варианты маскировки под названия «SECURITY_FSB» и «ФСБ», чтобы вызвать у жертвы доверие за счёт ассоциации с правоохранительными структурами.

На деле приложение не обладает никакими антивирусными функциями. При запуске оно имитирует проверку устройства, выдавая фиктивные угрозы, вероятность появления которых зависит от времени с момента предыдущей «проверки», но не превышает 30%. Количество «обнаруженных угроз» выбирается случайно — от одной до трёх.

После установки троян требует доступ ко множеству системных разрешений. Среди них — геолокация, запись звука, доступ к SMS, контактам, журналу вызовов, медиафайлам, разрешение на совершение звонков, управление камерой, фоновая работа, права администратора устройства и активация службы специальных возможностей.

Далее программа запускает собственные сервисы и следит за их работой, перезапуская при необходимости. Через эти механизмы она подключается к управляющему серверу и принимает команды. В их числе — отправка входящих и исходящих SMS, списка контактов, истории вызовов и координат устройства. Также возможна трансляция звука с микрофона, видео с камеры и экрана устройства, а также выгрузка изображений с карты памяти — как всех сразу, так и по заданному шаблону.

Бэкдор способен принимать и выполнять произвольные команды оболочки, отключать или включать механизмы самозащиты и передавать на сервер сведения о сетевых интерфейсах устройства. Передача разных типов данных происходит по отдельным портам управляющего сервера.

Особую опасность представляет использование службы специальных возможностей для реализации функций кейлоггера. Через этот механизм программа перехватывает содержимое, отображаемое в браузерах и мессенджерах, а также записывает вводимый текст, включая пароли. Среди отслеживаемых приложений — Telegram, Chrome, Gmail, Яндекс Старт, Яндекс Браузер и WhatsApp. Кроме того, при получении соответствующей команды вредонос может заблокировать попытки удаления себя с устройства.

Android.Backdoor.916.origin поддерживает работу с обширным пулом управляющих серверов. Информация о них хранится в конфигурации, а их число может достигать пятнадцати. Хотя сейчас переключение между хостингами не используется, возможность заложена в архитектуру. «Доктор Веб» уведомил регистраторов доменов о выявленных нарушениях.

Тот факт, что угроза распространяется под видом антивируса, внешне напоминающего официальные программы госструктур, делает её особенно опасной в условиях социальной инженерии.