Gefälschte Antivirus-App verbreitet Android-Malware, um russische Benutzer auszuspionieren

Doctor Web warnt vor Android.Backdoor.916.origin, einer gefälschten Antiviren-App, die russische Benutzer ausspioniert, indem sie Daten stiehlt und Audio- und Video-Streams sendet.

Cybersicherheitsforscher von Doctor Web warnen vor einer neuen Variante der Android-Malware namens Android.Backdoor.916.origin . Die Malware ist seit Januar 2025 aktiv und kann Gespräche abhören, Nachrichten stehlen, Videos streamen und Tastatureingaben protokollieren.

Dies ist das zweite Mal innerhalb der letzten vier Monate, dass Forscher Schadsoftware entdeckt haben, die auf die russische Infrastruktur abzielt. Im April 2022 deckte Doctor Web eine gefälschte Karten-App namens Alpine Quest auf, die das russische Militär ausspionierte.

Das Team von Doctor Web geht davon aus, dass es sich nicht um einen Masseninfektionsversuch handelt, der sich an normale Android-Nutzer richtet, sondern um ein Tool, das speziell auf russische Geschäftsleute zugeschnitten ist. Die Verbreitungsmethode stützt diese Theorie: Angreifer verbreiten die Malware über Direktnachrichten in Messengern und tarnen sie als Antivirenprogramm namens GuardCB.

Die gefälschte App täuscht ihre Opfer mit einer Tarnung. Ihr Symbol ähnelt dem Emblem der russischen Zentralbank auf einem Schild und lässt sie vertrauenswürdig erscheinen. Nach der Installation führt sie einen scheinbaren Antivirenscan durch, komplett mit gefälschten Erkennungsergebnissen, die zufällig generiert werden, um vertrauenswürdig zu wirken.

„ Dies wird durch andere entdeckte Modifikationen mit Namen wie „SECURITY_FSB“, „ФСБ“ (FSB) und anderen bestätigt, die Cyberkriminelle als sicherheitsrelevante Programme ausgeben wollen, die angeblich mit russischen Strafverfolgungsbehörden in Verbindung stehen “ , stellten die Forscher von Dr. Web in ihrem Blogbeitrag fest.

Nach der Installation fordert die Backdoor eine Reihe von Berechtigungen an, von der Geolokalisierung und Audioaufzeichnung bis hin zum Kamerazugriff und SMS-Daten. Außerdem erfordert sie Geräteadministratorrechte und Zugriff auf den Bedienungshilfendienst von Android. Dadurch kann sie wie ein Keylogger agieren und Inhalte beliebter Apps abfangen, darunter die folgenden:

• Google Mail
• Telegramm
• WhatsApp
• Yandex Browser
• Google Chrome

Die Forscher von Doctor Web erklären, dass die Schadsoftware auf Persistenz ausgelegt ist. Sie startet ihre eigenen Hintergrunddienste, prüft minütlich, ob diese aktiv sind, und startet sie bei Bedarf neu. Sie kommuniziert außerdem mit mehreren Command-and-Control-Servern und kann zwischen bis zu 15 Hosting-Anbietern wechseln, wenn Angreifer die Infrastruktur am Leben erhalten wollen.

Die Liste der verfügbaren Befehle im Bericht von Doctor Web zeigt das Ausmaß seiner Spionagefähigkeiten. Es kann Audio vom Mikrofon live streamen, Video von der Kamera übertragen, Text während der Eingabe stehlen und Kontakte, SMS, Bilder und den Anrufverlauf hochladen. Darüber hinaus ist es sogar möglich, den Bildschirm eines Geräts in Echtzeit zu streamen.

Die Malware nutzt außerdem den Bedienungshilfendienst von Android zum Selbstschutz. Diese Funktion wird nicht nur missbraucht, um Tastatureingaben zu stehlen, sondern auch, um Versuche zur Entfernung der Malware zu blockieren, wenn Angreifer einen entsprechenden Befehl eingeben. Diese Selbstschutzfunktion bedeutet, dass selbst wenn die Opfer bemerken, dass ihr Gerät kompromittiert ist, die Entfernung ohne spezielle Sicherheitssoftware schwierig sein kann.

Doctor Web weist darauf hin, dass die Malware zwar hochentwickelt, aber auch stark lokalisiert ist. Die Benutzeroberfläche ist nur auf Russisch verfügbar, was die Annahme stützt, dass sie für eine bestimmte Zielgruppe entwickelt wurde.

Wenn Sie ein Android-Benutzer in Russland sind, laden Sie Apps nur aus vertrauenswürdigen Quellen herunter und vermeiden Sie, dass die Open-Source-Natur von Android zu einer offenen Einladung für Hacker wird.