Android.Backdoor.916.origin атакует сотрудников российского бизнеса

Антивирусная компания «Доктор Веб» зафиксировала распространение многофункционального бэкдора Android.Backdoor.916.origin, нацеленного на устройства под управлением Android. Целью атак являются представители российского бизнеса. Программа выполняет команды удалённых злоумышленников, позволяя им вести наблюдение, перехватывать данные и управлять устройством.

Возможности вредоносного ПО

Android.Backdoor.916.origin способен:

• прослушивать телефонные разговоры;

• вести трансляцию с камеры;

• похищать данные из мессенджеров и браузеров;

• фиксировать вводимый текст, включая пароли (кейлоггер).

Первые версии вредоноса появились в январе 2025 года. По данным «Доктор Веб», он используется преимущественно в точечных атаках, а не для массового заражения.

Метод распространения

Злоумышленники передают APK-файл под видом антивируса «GuardCB» через личные сообщения в мессенджерах. Значок программы напоминает эмблему Центрального Банка РФ на фоне щита. Интерфейс доступен только на русском языке. В других модификациях используются названия файлов вроде «SECURITY_FSB» и «ФСБ», что создаёт видимость принадлежности к официальным структурам.

Фейковая защита

Фактических защитных функций у Android.Backdoor.916.origin нет. При запуске он показывает фиктивное «сканирование» устройства с запрограммированной вероятностью «обнаружения» угроз до 30%. Количество выявленных «опасностей» выбирается случайным образом — от одной до трёх.

Запрашиваемые разрешения

При первом запуске бэкдор требует доступ:

• к геолокации;

• к записи аудио;

• к SMS, контактам, журналу вызовов, медиафайлам и звонкам;

• к камере;

• к фоновому режиму работы;

• к правам администратора устройства;

• к службе специальных возможностей (Accessibility Service).

Передача данных и управление

Программа запускает собственные сервисы и поддерживает связь с управляющим сервером (C2), выполняя команды:

• передача SMS, контактов, истории вызовов, геолокации;

• трансляция аудио, видео, экрана;

• отправка изображений с устройства;

• выполнение удалённых команд;

• отправка информации о сети и интерфейсах.

Передача разных типов данных идёт через отдельные порты C2-сервера.

Использование Accessibility Service

Служба специальных возможностей применяется для кейлоггинга и перехвата данных из приложений Telegram, Google Chrome, Gmail, «Яндекс Старт», «Яндекс Браузер» и WhatsApp. При соответствующей команде вредонос может блокировать своё удаление.

Инфраструктура управления

В конфигурации бэкдора предусмотрено использование нескольких управляющих серверов и до 15 хостинг-провайдеров, но в текущей версии эта функция не активна. «Доктор Веб» уведомил регистраторов доменов о выявленных нарушениях.

Антивирус Dr.Web для Android обнаруживает и удаляет все известные версии Android.Backdoor.916.origin, обеспечивая защиту своих пользователей.