Компания «Доктор Веб» сообщила о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли. Первые версии бэкдора появились в январе 2025 года и эволюционировали. Как утверждают в «Доктор Веб», Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка
Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей.
Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам. При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений: к геолокации, к записи аудио, к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков, к камере (создание фотографий и запись видео), к разрешению на работу в фоновом режиме, к правам администратора устройства, к специальным возможностям (Accessibility Service). Android.Backdoor.916.origin использует службу специальных возможностей (Accessibility Service) для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы: Telegram, Google Chrome, Gmail, Яндекс Старт, «Яндекс Браузер».
Источник: mobile-review.com