Nowy backdoor na Androida podszywa się pod antywirusa

W artykule Bleeping Computer czytamy o raporcie rosysjkiej firmy produkującej narzędzia antywirusowe Dr. Web. Wykryli oni backdoora dla urządzeń mobilnych z systemem Android.

Program po raz pierwszy zidentyfikowano w styczniu 2025 roku a za jego dystrybucję odpowiada FSB. Android.Backdoor.916.origin według raportu Dr.Web był ukierunkowany na przedstawicieli rosyjskich firm.

Ofiary za pośrednictwem prywatnych wiadomości otrzymywały plik APK (czyli instalator aplikacji na Androida) wraz z backdoorem. Aplikacja stworzona przez cyberprzestępców miała imitować program antywirusowy o nazwie „GuardCB”. Aplikacja wykorzystywała logo przypominające godło Banku Centralnego Federacji Rosyjskiej. Atak był ukierunkowany na rosyjskich użytkowników, o czym świadczy interfejs aplikacji, który jest dostępny tylko w języku rosyjskim. Jak podkreśla Dr.Web, wykryli oni modyfikacje o nazwach plików „SECURITY_FSB”, „FSB”. Aplikacja ma sprawiać wrażenie wiarygodnej i powiązanej z rosyjskimi organami ścigania.

Aplikacja antywirusowa ma szpiegować

W rzeczywistości aplikacja stworzona przez cyberprzestępców nie ma żadnych funkcji, które chronią urządzenie przed złośliwym oprogramowaniem. Aby uśpić czujność użytkowników, w aplikacji dostępny jest skaner, który informuje o poziomie zagrożenia.„Prawdopodobieństwo „wykrycia” zagrożeń jest zaprogramowane. Im więcej czasu upłynęło od ostatniego „skanowania”, tym prawdopodobieństwo jest większe, ale nie przekracza 30%. Liczba rzekomo wykrytych zagrożeń jest ustalana losowo i wynosi od 1 do 3” – czytamy w raporcie.

Po uruchomieniu aplikacji umieszczony w niej backdoor żąda dostępu do uprawnień systemowych, w tym m.in. do:

• geolokalizacji;
• nagrywania dźwięku;
• SMS-ów, kontaktów, listy połączeń, plików multimedialnych, zgody na wykonywanie połączeń;
• aparatu (robienie zdjęć i nagrywanie filmów);
• pozwolenia na pracę w tle;
• uprawnień administratora urządzenia;
• specjalnych funkcji (m.in. ułatwienia dostępu);

Aplikacja po uruchomieniu łączy backdoor z serwerem Command & Control, dzięki czemu atakujący, kontrolując serwer, może wysyłać komendy do zainstalowanego backdoora. Wśród takich zadań Dr. Web wymieniło m.in.: wysyłanie danych geolokalizacyjnych, uruchomienie kamery i mikrofonu, przesyłanie danych dostępnych na karcie pamięci

Złośliwe oprogramowanie skupia się na śledzeniu komunikatorów i przeglądarek, w tym: Telegram, Google Chrome, Gmail, Yandex Start, WhatsApp.