Эксперты компании «Доктор Веб» выявили новую серьезную угрозу для российского делового сообщества — сложный бэкдор Android.Backdoor.916.origin, разработанный на языке программирования Kotlin. Вредоносное приложение демонстрирует высокий уровень технической сложности и нацелено на проведение целенаправленных кибератак против представителей отечественного бизнеса.
Техническая характеристика и методы распространения
Первые образцы малвари появились в январе 2025 года, что свидетельствует о недавней разработке и активном использовании злоумышленниками. Исследователи проследили эволюцию угрозы и зафиксировали несколько модификаций, каждая из которых демонстрирует постоянное совершенствование функциональности.
Распространение вредоносного ПО осуществляется через персонализированные сообщения в мессенджерах, что указывает на тщательную подготовку атак и предварительный сбор информации о потенциальных жертвах. Такой подход характерен для APT-групп (Advanced Persistent Threat), специализирующихся на долгосрочном проникновении в корпоративные сети.
Социальная инженерия и маскировка
Особую опасность представляет изощренная система маскировки бэкдора. Злоумышленники создали поддельное антивирусное приложение GuardCB с визуальным оформлением, имитирующим официальную символику Центрального Банка Российской Федерации. Интерфейс программы полностью русифицирован, что подтверждает целенаправленность атак на российскую аудиторию.
Дополнительные модификации используют названия файлов SECURITY_FSB и «ФСБ», эксплуатируя доверие пользователей к государственным структурам безопасности. Эта тактика демонстрирует глубокое понимание психологических особенностей целевой аудитории.
Функциональные возможности и угрозы
После установки приложение имитирует процесс антивирусного сканирования с запрограммированной вероятностью обнаружения ложных угроз до 30%. Количество якобы найденных проблем варьируется от одной до трех, создавая иллюзию реальной работы защитного ПО.
Бэкдор обладает обширным арсеналом шпионских функций:
Возможности слежки и перехвата данных
Вредоносная программа способна осуществлять скрытое прослушивание разговоров, передавать видеопоток с камеры устройства и функционировать как кейлоггер, фиксирующий все нажатия клавиш. Особое внимание уделяется перехвату информации из популярных мессенджеров и браузеров, включая Telegram, WhatsApp, Google Chrome, Gmail, «Яндекс Старт» и «Яндекс Браузер».
Система управления и защиты
Технически бэкдор использует службы специальных возможностей Android (Accessibility Service) для реализации функций кейлоггера и самозащиты от удаления. Программа поддерживает соединение с множественными управляющими серверами и обладает возможностью переключения между 15 различными хостинг-провайдерами, хотя эта функция пока не активирована.
Инфраструктура и противодействие
Архитектура вредоносного ПО предусматривает использование отдельных портов для трансляции различных типов перехваченных данных, что обеспечивает эффективную организацию канала связи с операторами. Программа запускает несколько собственных сервисов и ежеминутно контролирует их активность, гарантируя стабильную работу.
Специалисты «Доктор Веб» уже направили уведомления регистраторам доменов о выявленных нарушениях, что является важным шагом в нейтрализации угрозы на инфраструктурном уровне.
Появление Android.Backdoor.916.origin демонстрирует растущую изощренность киберугроз, направленных против российского бизнеса. Компаниям необходимо усилить меры корпоративной безопасности, включая обучение сотрудников основам цифровой гигиены и внедрение решений для защиты мобильных устройств. Только комплексный подход к кибербезопасности позволит эффективно противостоять подобным целенаправленным атакам.
