Эксперты предупредили о появлении Android-бэкдора, который шпионит за сотрудниками российских компаний

Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения эксперты по кибербезопасности наблюдали за эволюцией этого вредоносного ПО и выявили ряд его версий. Было установлено, что Android.Backdoor.916.origin предназначен для использования в точечных атаках. Основной его целью стали представители российского бизнеса.

Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.

При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений:

• к геолокации;
• к записи аудио;
• к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков;
• к камере (создание фотографий и запись видео);
• к разрешению на работу в фоновом режиме;
• к правам администратора устройства;
• к специальным возможностям (Accessibility Service).

Android.Backdoor.916.origin использует службу специальных возможностей для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы:

• Telegram;
• Google Chrome;
• Gmail;
• Яндекс Старт;
• Яндекс Браузер;
• WhatsApp.