Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа способна выполнять множество команд злоумышленников и обладает обширными возможностями для слежки и кражи данных. Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли.
Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за эволюцией этого ВПО и выявила ряд его версий (информация о них представлена в соответствующих индикаторах компрометации). Эксперты нашей компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.
Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.
