Новооткрит Android зловреден софтуер, представящ се като антивирусен инструмент, е разработен с цел да шпионира и контролира устройства на ръководители в руски компании. Според доклад на руската компания за мобилна сигурност Dr. Web, зловредният код е проследен под името Android.Backdoor.916.origin и няма връзка с познати досега семейства малуер.

Шпионаж под прикритието на защита

Малуерът се разпространява като „ антивирус софтуер“, но интерфейсът му е изцяло на руски език, което подсказва, че е създаден за таргетирани атаки срещу руски потребители и бизнеси. Открити са няколко различни версии, което показва активно развитие и усъвършенстване.

За прикритие киберпрестъпниците използват имена като „GuardCB“ (имитирайки Централната банка на Русия), както и „SECURITY_FSB“ и „ФСБ“, внушавайки връзка с Федералната служба за сигурност. Приложението симулира антивирусни сканирания и в 30% от случаите „открива“ фалшиви заплахи, за да изглежда правдоподобно.

Опасни функции и достъп

След инсталиране, малуерът изисква широк набор от рискови разрешения – достъп до SMS, контакти, медийни файлове, местоположение, камера, микрофон и дори право за изтриване на всички данни. Чрез тези права зловредният код може да:

• прихваща съобщения, обаждания и данни от приложения като Telegram, WhatsApp, Gmail и Chrome;

• активира камерата и микрофона за шпионаж в реално време;

• извършва стрийминг на екрана и въвеждан текст (keylogging);

• поддържа постоянна връзка със сървъри за команден и контрол (C2).

Интересна особеност е, че зловредният софтуер може да превключва между до 15 различни хостинг доставчици, което го прави по-устойчив срещу блокиране.

Android.Backdoor.916.origin е пореден пример за това как киберпрестъпниците злоупотребяват с доверието на потребителите, представяйки зловреден код като защитен софтуер. Засега жертви са основно руски бизнес среди, но експертите предупреждават, че подобни атаки могат да еволюират и да се разпространят и извън Русия.