Cine face ce și unde: o nouă aplicație Android, prezentată ca un instrument antivirus și atribuită agenției FSB din Rusia, vizează direct manageri de companii rusești. Cercetătorii în securitate mobilă de la Dr. Web au identificat spyware-ul sub numele Android.Backdoor.916.origin și spun că nu se încadrează în familii de malware cunoscute.
Malware-ul este construit să pară util: se promovează ca soluție de securitate și afișează o interfață în limba rusă, ceea ce sugerează orientare clară către utilizatorii din Rusia. Există două încercări de branduire notabile: una numită GuardCB, care imită Banca Centrală a Federației Ruse, și alte variante denumite SECURITY_FSB sau ФСБ, menite să pară legate de agenția de informații. Interfața nu oferă alte limbi, deci este evident conceput pentru țintire locală.
Funcționalitățile pe care le include sunt serioase: poate intercepta convorbiri, transmite în direct de la cameră, înregistra audio, captura textul introdus cu un keylogger și extrage date din aplicații de mesagerie. La instalare, aplicația solicită permisiuni cu risc ridicat: localizare, acces la SMS-uri și fișiere media, cameră și înregistrare audio, serviciul Accessibility și permisiunea de a rula permanent în fundal. De asemenea cere drepturi care permit ștergerea datelor sau schimbarea ecranului de blocare, lucruri care ar trebui să ridice imediat semne de întrebare.
Ca să pară mai veridic, “antivirusul” simulează un scan: dacă utilizatorul apasă scan, interfața este programată să afișeze un rezultat fals pozitiv în aproximativ 30% din cazuri, raportând între 1 și 3 amenințări simulate. Scopul pare să fie descurajarea dezinstalării sau convingerea victimei că aplicația face ceva util.
Odată instalat, codul lansează servicii care se conectează la servere de comandă și control. Printre comenzile pe care le poate primi se numără: exfiltrarea SMS-urilor, contactelor, istoricului apelurilor, locației și imaginilor stocate; activarea microfonului, camerei și transmiterea ecranului; capturarea textului introdus și a conținutului din aplicații de mesagerie sau browser (Telegram, WhatsApp, Gmail, Chrome, aplicații Yandex); și executarea de comenzi shell, menținerea persistenței și activarea unor mecanisme de autoapărare. În plus, autorii au prevăzut posibilitatea ca malware-ul să comute între până la 15 furnizori de hosting, o funcție menită să îi crească reziliența, chiar dacă momentan nu este activă.
Cercetătorii de la Dr. Web au analizat mai multe versiuni descoperite din ianuarie 2025 încoace, semnalând dezvoltare continuă. Ei au publicat indicatorii de compromitere pe un repository GitHub, ceea ce permite organizațiilor și specialiștilor să verifice și să detecteze prezența acestei amenințări.
Moralul tehnic: aplicațiile care cer permisiuni extinse și încearcă să arate oficiale trebuie tratate cu precauție, mai ales când se promovează prin canale neoficiale și au interfețe limitate la o singură limbă. Ce măsuri ai lua tu pentru a verifica o aplicație care pretinde că îți protejează telefonul?
nu instala chestii care cer acces la accesibilitate sau la sms daca nu stii exact de la cine sunt, eu verificam apk pe virustotal si pe apkcombo inainte sa bag orice si chiar rulez un sandbox pe telefon vechi fara date sensibile daca e ceva dubios, si vezi sa nu dai permisiuni de owner sau device admin ca te trezesti cu wipe sau schimbat lockscreen, plus caută semnături pe github si certificatele apk vezi cine a semnat pkg, daca numele e fake caută coincidende cu domenii sau servere de c2 în whois sau passive dns, si mai stai tu pe grupuri rusofone sau pe telegram ca sa vezi discuții despre aplicație, na asta e gata
ms, dar vezi să nu-l instalezi fără VM sau cont test; pare FSB dar poate fi doar copycat, eu aș verifica semnăturile apk, hash pe virustotal și permisiunile înainte, nu lua totul de bun.