Експерти кібербезпеки виявили нову серйозну загрозу для бізнес-середовища — високотехнологічний бекдор Android.Backdoor.916.origin, розроблений на мові програмування Kotlin. Шкідлива програма демонструє надзвичайний рівень складності та спрямована на проведення цілеспрямованих кіберінцидентів проти представників ділового співтовариства.
Характеристики загрози та методи поширення
Перші зразки шкідливого ПЗ з’явилися у січні 2025 року, що свідчить про активну розробку та впровадження кіберзлочинцями. Дослідники зафіксували кілька модифікацій програми, кожна з яких показує постійне вдосконалення функціональності.
Поширення вірусу відбувається через персоналізовані повідомлення у месенджерах, що вказує на ретельну підготовку атак та попередній збір інформації про потенційних жертв. Такий підхід характерний для APT-груп (Advanced Persistent Threat), які спеціалізуються на довготривалому проникненні у корпоративні мережі.
Методи соціальної інженерії та маскування
Особливу небезпеку представляє витончена система маскування бекдору. Зловмисники створили підроблену антивірусну програму GuardCB з візуальним оформленням, що імітує офіційну символіку Центрального Банку. Інтерфейс програми повністю русифікований, що підтверджує цілеспрямованість атак.
Додаткові модифікації використовують назви файлів SECURITY_FSB та “ФСБ”, експлуатуючи довіру користувачів до державних структур безпеки. Ця тактика демонструє глибоке розуміння психологічних особливостей цільової аудиторії.
Функціональні можливості та рівень загроз
Після встановлення програма імітує процес антивірусного сканування з запрограмованою ймовірністю виявлення хибних загроз до 30%. Кількість нібито знайдених проблем варіюється від однієї до трьох, створюючи ілюзію реальної роботи захисного ПЗ.
Можливості стеження та перехоплення даних
Шкідлива програма здатна здійснювати приховане прослуховування розмов, передавати відеопотік з камери пристрою та функціонувати як кейлогер, фіксуючи всі натискання клавіш. Особлива увага приділяється перехопленню інформації з популярних месенджерів та браузерів, включаючи Telegram, WhatsApp, Google Chrome, Gmail та інші популярні додатки.
Система управління та самозахисту
Технічно бекдор використовує служби спеціальних можливостей Android (Accessibility Service) для реалізації функцій кейлогера та самозахисту від видалення. Програма підтримує з’єднання з численними керуючими серверами та має можливість перемикання між 15 різними хостинг-провайдерами.
Інфраструктура та протидія загрозам
Архітектура шкідливого ПЗ передбачає використання окремих портів для трансляції різних типів перехоплених даних, що забезпечує ефективну організацію каналу зв’язку з операторами. Програма запускає кілька власних сервісів та щохвилини контролює їх активність, гарантуючи стабільну роботу.
Фахівці з кібербезпеки вже направили повідомлення реєстраторам доменів про виявлені порушення, що є важливим кроком у нейтралізації загрози на інфраструктурному рівні.
Поява Android.Backdoor.916.origin демонструє зростаючу витонченість кіберзагроз, спрямованих проти бізнес-сектору. Компаніям необхідно посилити заходи корпоративної безпеки, включаючи навчання співробітників основам цифрової гігієни та впровадження рішень для захисту мобільних пристроїв. Лише комплексний підхід до кібербезпеки дозволить ефективно протистояти подібним цілеспрямованим атакам та захистити критично важливу корпоративну інформацію.
