Поделиться
Android-бэкдор шпионит за сотрудниками российского бизнеса
Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа способна выполнять множество команд злоумышленников и обладает обширными возможностями для слежки и кражи данных. Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли. Об этом CNews сообщили представители «Доктор Веб».
Android.Backdoor.916.origin появились в январе 2025 г. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за эволюцией этого ВПО и выявила ряд его версий (информация о них представлена в соответствующих индикаторах компрометации). Эксперты нашей компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.
Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «Security_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.
При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений: к геолокации; к записи аудио; к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков; к камере (создание фотографий и запись видео); к разрешению на работу в фоновом режиме; к правам администратора устройства; к специальным возможностям (Accessibility Service).
Android.Backdoor.916.origin использует службу специальных возможностей (Accessibility Service) для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы: Telegram, Google Chrome, Gmail, «Яндекс Старт», «Яндекс Браузер», WhatsApp.
Поделиться
Короткая ссылка
