Фахівці компанії Dr. Web виявили нове шкідливе ПЗ для Android, яке маскується під антивірус від російської ФСБ та використовується для шпигунства за керівниками російських бізнесів.
Шкідливе програмне забезпечення отримало назву Android.Backdoor.916.origin. Воно не пов’язане з відомими родинами троянів, що вказує на його оригінальну розробку. Зловмисники поширюють додаток під виглядом «GuardCB» (нібито від Центробанку РФ) та «SECURITY_FSB» / «ФСБ». Інтерфейс програми доступний лише російською мовою, що підтверджує спрямованість атак виключно на російських користувачів.aa
Після встановлення застосунок запитує небезпечні дозволи: геолокацію, доступ до SMS і медіафайлів, запис аудіо й відео, керування блокуванням екрана та роботу у фоновому режимі. Під час «сканування» він симулює перевірку й у 30% випадків показує фейкові загрози. Насправді ж його функції — перехоплення повідомлень, дзвінків, даних месенджерів, доступ до камери й мікрофона, виконання команд через C2-сервери та самозахист від видалення.
Вперше загрозу зафіксували у січні 2025 року, відтоді вона постійно оновлюється. Аналітики Dr. Web виявили до 15 запасних хостинг-провайдерів, які поки не задіяні, але свідчать про прагнення авторів зробити шкідливе ПЗ стійким до блокування. Публікація індикаторів компрометації на GitHub має допомогти захисникам вчасно виявляти зараження. Схожі кампанії з використанням підроблених державних брендів в РФ вже застосовувались, проте цей кейс вирізняється глибиною функціоналу та спрямованістю на корпоративний сектор.
Новий шпигунський софт під виглядом «антивірусу ФСБ» показує, наскільки небезпечними є атаки із використанням довіри до державних брендів. Мішенню стали саме бізнес-структури, що свідчить про інтерес зловмисників до корпоративної інформації. Водночас приклад демонструє потребу користувачів перевіряти походження програм і не довіряти «офіційним» додаткам без підтвердження їхньої автентичності.
