Поделиться
Фальшивый «антивирус ФСБ» атакует руководство российских компаний. В опасности все пользователи Android
Новая вредоносная программа для Android выдает себя за антивирус, созданный российскими спецслужбами. Основная цель хакеров – пользующиеся Android руководители корпораций, но и обычные пользователи тоже могут подхватить этот вредонос.
Не то, чем кажется
В Сети распространяется новое вредоносное ПО, выдающее себя за антивирусное решение, созданное Федеральной службой безопасности России (ФСБ). Об этом пишет профильный портал Bleeping Computer со ссылкой на российскую ИБ-компанию «Доктор Веб». Он предназначен для заражения мобильных устройств руководителей различных отечественных предприятий, но лишь тех, кто пользуется гаджетами под управлением Android.
Согласно отчету компании «Доктор Веб», новое шпионское ПО, выдающее себя за легитимный антивирус за авторством российских спецслужб, промаркировано в антивирусных базах как Android.Backdoor.916.origin. Эксперты ИБ-компании пока не обнаружили связь этой мобильной утилиты с известными семействами вредоносных программ.
For Russia without love
У нового творения хакеров довольно широкий спектр возможностей. С помощью этого приложения хакеры могут получать едва ли не всю информацию, которая транслируется через экран смартфона или его динамиками или фиксируется микрофоном.
Например, пытающаяся казаться антивирусом программа может подслушивать разговоры и перехватывать данные с камеры а также следить за тем, что владелец устройства набирает на виртуальной клавиатуре.
Более того, приложение может следить за перепиской пользователя в мессенджерах и извлекать из нее информацию. Пока неизвестно, умеет ли оно перехватывать разговоры в этих сервисах.
Характерной особенностью обнаруженного вредоноса является то, что у него, по крайней мере, к августу 2025 г., есть лишь один язык интерфейса – русский. Другие локализации разработчики не предусмотрели, хотя и нельзя исключать их появления в будущем.
Исходя из этого факта, а также с учетом способов распространения вредоносного ПО и методов заражения им специалисты компании «Доктор Веб» выдвинули предположение, что утилита с самого начала была разработана для целенаправленных атак на российские компании. Притом мимикрия под антивирус от ФСБ – лишь одна из двух обнаруженных к концу августа 2025 г. схем распространения вредоноса.
Чтобы никто не догадался
Аналитики выявили две версии вируса – одна носит название ФСБ, а другая известна как SECURITY_FSB. Они полагают, что хакеры так пытаются выдать его за программное обеспечение российских спецслужб.
Но есть еще одна модификация утилиты, получившая название GuardCB. Она якобы разработана российским Центробанком.
Вне зависимости от версии Android.Backdoor.916.origin имитирует интерфейс и работу антивирусного ПО, хотя на самом деле таких функций у него и в помине нет. Bleeping Computer пишет, что мимикрия под защитное ПО снижает вероятность удаления утилиты с устройства.
А чтобы еще надежнее усыпить бдительность пользователя, программа иногда сообщает ему, что обнаружила в памяти гаджета опасный софт. Когда пользователь нажимает кнопку «Сканировать», интерфейс отображает симуляцию, запрограммированную на возврат ложноположительного результата в 30% случаев. При этом количество ложных обнаружений варьируется (случайным образом) от одного до трех.
Универсальное решение
После установки вредоносная программа запрашивает предоставление нескольких высокорисковых разрешений. Она просит доступ к геолокация, SMS-сообщениям и файлам в памяти устройства. Наряду с этим она хочет иметь доступ к камере и микрофону, а заодно она просит пользователя разрешить ей постоянно работать в фоновом режиме.
Затем она без разрешения и уведомления пользователя налаживает связь с командным сервером. Операторы сервера посылают на пользовательское самые разные команды, например, на извлечение SMS-сообщений, контактов, истории звонков, точных координат владельца устройства и фотографий в галерее.
Также в приложение могут поступать команды активации микрофона или камеры, трансляции экрана, перехвата вводимого текста и извлечения данных из мессенджеро, браузеров и ряда других приложений. Bleeping Computer приводит в пример, в числе прочих, Telegram, Gmail, Chrome и «Яндекс.Дзен»).
Эксперты компании «Доктор Веб» выявили, что вредоносная программа может переключаться между 15 командными серверами. Это свидетельствует о том, что вредоносная программа разработана с расчетом на свою максимально стабильную работу.
Дарвин был бы доволен
Впервые эксперты компании «Доктор Веб» столкнулись с Android.Backdoor.916.origin в самом начале 2025 г. Количество зараженных с его помощью устройств, точное или приблизительное, они не приводят, но зато раскрывают более устрашающие подробности.
В компании отметили, что за восемь месяцев 2025 г. им попалось несколько модификаций этого вредоноса. Таким образом, стало доподлинно известно, что ответственные за создание Android.Backdoor.916.origin вирусмейкеры не сидят на месте и постоянно развивают свой продукт.
Короткая ссылка
