O Laboratório Antivírus da Doctor Web identificou um sofisticado malware Android Backdoor, designado android.backdoor.916.origin, que vem evoluindo desde sua detecção inicial em janeiro de 2025.
Esse spyware multifuncional tem como alvo principalmente representantes dos negócios russos por meio de ataques direcionados, em vez da distribuição em massa.
Os invasores disseminam o arquivo APK malicioso por meio de mensagens privadas em mensageiros populares, disfarçando -o como um aplicativo antivírus legítimo chamado “Guardcb”.
Distribuição da ameaça de backdoor
O ícone do aplicativo imita o emblema do Banco Central da Federação Russa sobreposta a um escudo, com uma interface exclusivamente em russo, reforçando seu foco em usuários de língua russa.
As variantes também surgiram em nomes como “Security_FSB” e “FSB”, que se apresentava falsamente como ferramentas de segurança afiliadas às agências de aplicação da lei russa. Essas táticas enganosas exploram a confiança do usuário em entidades oficiais para facilitar a instalação.
Após a execução, Android.backdoor.916.origin simula uma varredura antivírus para manter sua fachada, determinando programaticamente uma probabilidade de “detecção de ameaças” que aumenta ao longo do tempo até 30%, com uma contagem aleatória de 1 a 3 ameaças fabricadas. No entanto, não possui recursos de proteção genuína.
Em vez disso, solicita agressivamente extensas permissões do sistema durante o lançamento inicial, incluindo acesso a geolocalização, gravação de áudio, SMS, contatos, registros de chamadas, arquivos de mídia, chamadas de saída, funções de câmera para fotos e vídeos, operações de fundo, privilégios de administrador de dispositivos e o serviço de acessibilidade.
Essas permissões permitem um amplo espectro de vigilância e Exfiltração de dados Atividades, posicionando o malware como uma ferramenta potente para a espionagem cibernética.
Infraestrutura de comando
A arquitetura do backdoor inclui vários serviços auto-sustentados que se ativam na instalação e são monitorados a cada minuto para garantir a persistência.
Estabelece conexões para comando e controle (C2) Servidores, recebendo diretrizes em portas dedicadas para transmissão de dados segmentados.
Os comandos -chave que abrangem mensagens SMS de entrada e saída, listas de contatos, histórias de chamadas e dados de geolocalização para o servidor; Iniciando ou encerrando fluxos de áudio do microfone, feeds de vídeo da câmera ou transmissões de tela.
Carregar todas as imagens do armazenamento do dispositivo ou arquivos específicos por nome ou intervalo; alternando mecanismos de autodefesa; executar comandos de shell arbitrários; e retransmitir informações detalhadas da interface de rede e dispositivo.
A alavancagem do Serviço de Acessibilidade, Android.backdoor.916.origin implementa a funcionalidade do KeyLogger para interceptar pressionamentos de teclas, incluindo entradas sensíveis como senhas, enquanto monitorava aplicativos direcionados como Telegram, Google Chrome, Gmail, Yandex Start, Yandex Browser e Whatsapp para conteúdo.
Este serviço também reforça as defesas anti-removalência do malware quando comandado, complicando os esforços de erradicação.
A configuração suporta integração com até 15 provedores de hospedagem para redundância do servidor C2, embora esse recurso permaneça adormecido em amostras observadas.
A Web médica notificou proativamente os registradores de domínio sobre abusos associados para interromper a infraestrutura.
Especialistas na Web Doctor avaliar Esse Android.backdoor.916.origin é otimizado para ataques de precisão contra executivos de negócios, permitindo que os atacantes conduzam vigilância abrangente, roubam dados proprietários e potencialmente facilitem intrusões adicionais como implantação de ransomware ou movimento lateral nas redes corporativas.
Todas as variantes conhecidas são efetivamente detectadas e neutralizadas pelas soluções antivírus Dr.Web para Android, atenuando os riscos para usuários protegidos.
As organizações são aconselhadas a aplicar políticas estritas de carga de APK, verificar a autenticidade do aplicativo por meio de assinaturas digitais e empregar ferramentas de análise comportamental para combater essas ameaças enganosas.
O monitoramento contínuo dos indicadores de compromisso (COI) fornecido pelo Doctor Web é recomendado para equipes de inteligência de ameaças que rastreiam operações cibernéticas focadas na Rússia.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!