Fałszywa aplikacja antywirusowa rozprzestrzenia złośliwe oprogramowanie na Androida, aby szpiegować rosyjskich użytkowników
Doctor Web ostrzega przed Android.Backdoor.916.origin, fałszywą aplikacją antywirusową, która szpieguje rosyjskich użytkowników poprzez kradzież danych oraz przesyłanie strumieniowe dźwięku i obrazu.
Badacze cyberbezpieczeństwa z Doctor Web ostrzegają przed nowym szczepem złośliwego oprogramowania dla systemu Android o nazwie Android.Backdoor.916.origin . Szkodnik ten działa od stycznia 2025 roku i potrafi podsłuchiwać rozmowy, kraść wiadomości, przesyłać strumieniowo wideo i rejestrować naciśnięcia klawiszy.
To już drugi raz w ciągu ostatnich czterech miesięcy, kiedy badacze wykryli złośliwe oprogramowanie atakujące rosyjską infrastrukturę. W kwietniu 2022 roku Doctor Web ujawnił fałszywą aplikację mapującą Alpine Quest, która szpiegowała rosyjskie wojsko.
Zespół Doctor Web uważa, że nie jest to próba masowej infekcji wymierzona w zwykłych użytkowników Androida, lecz narzędzie stworzone z myślą o rosyjskich przedstawicielach biznesowych. Metoda dystrybucji potwierdza tę teorię, ponieważ atakujący rozsyłają złośliwe oprogramowanie za pośrednictwem wiadomości prywatnych w komunikatorach, podszywając się pod program antywirusowy o nazwie GuardCB.
Fałszywa aplikacja wykorzystuje kamuflaż, aby oszukać ofiary. Jej ikona przypomina godło Rosyjskiego Banku Centralnego umieszczone na tarczy, co sprawia, że wygląda wiarygodnie. Po zainstalowaniu uruchamia coś, co wygląda jak skanowanie antywirusowe, wraz z fałszywymi wynikami wykrywania, generowanymi losowo, aby wyglądały przekonująco.
„ Potwierdzają to inne wykryte modyfikacje o nazwach takich jak „SECURITY_FSB”, „ФСБ” (FSB) i inne, które cyberprzestępcy próbują podszywać się pod programy związane z bezpieczeństwem, rzekomo powiązane z rosyjskimi organami ścigania ” – zauważyli badacze z Dr Web w swoim wpisie na blogu .
Po zainstalowaniu, backdoor żąda listy uprawnień, od geolokalizacji i nagrywania dźwięku, po dostęp do aparatu i danych SMS. Żąda również uprawnień administratora urządzenia i dostępu do usługi ułatwień dostępu Androida, co pozwala mu działać jak keylogger i przechwytywać treści z popularnych aplikacji, w tym:
- Gmail
- Telegram
- Przeglądarka Yandex
- Google Chrome
Badacze z Doctor Web wyjaśniają, że złośliwe oprogramowanie zostało zaprojektowane z myślą o trwałości. Uruchamia ono własne usługi w tle, co minutę sprawdza ich działanie i w razie potrzeby restartuje je. Komunikuje się również z wieloma serwerami Command-and-Control, umożliwiając przełączanie się między nawet 15 dostawcami hostingu, jeśli atakujący chcą utrzymać infrastrukturę w działaniu.
Lista dostępnych poleceń, zamieszczona w raporcie Doctor Web, pokazuje zakres jego możliwości szpiegowskich. Potrafi transmitować na żywo dźwięk z mikrofonu, transmitować obraz z kamery, przechwytywać tekst wpisany przez użytkownika oraz przesyłać kontakty, SMS-y, zdjęcia i historię połączeń. Dodatkowo, umożliwia nawet strumieniowanie ekranu urządzenia w czasie rzeczywistym.
Szkodliwe oprogramowanie wykorzystuje również usługę ułatwień dostępu Androida jako sposób na ochronę. Funkcja ta jest wykorzystywana nie tylko do kradzieży naciśnięć klawiszy, ale także do blokowania prób usunięcia złośliwego oprogramowania, jeśli atakujący wydadzą takie polecenie. Ta funkcja samoobrony oznacza, że nawet jeśli ofiary zorientują się, że ich urządzenie zostało zainfekowane, usunięcie go może być trudne bez dedykowanego oprogramowania zabezpieczającego.
Doctor Web zauważa, że choć złośliwe oprogramowanie jest zaawansowane, jest również silnie zlokalizowane. Jego interfejs jest dostępny wyłącznie w języku rosyjskim, co potwierdza tezę, że zostało stworzone z myślą o konkretnej grupie celów.
Jeśli jesteś użytkownikiem Androida mieszkającym w Rosji, pobieraj aplikacje tylko ze sprawdzonych źródeł i nie pozwól, aby otwartoźródłowa natura Androida stała się otwartym zaproszeniem dla hakerów.
HackRead
