Um novo malware para Android, que se passa por um software antivírus criado pela agência Federal Security Services (FSB) da Rússia, está sendo utilizado para atacar executivos de empresas russas.
Em um relatório recente da empresa russa de segurança móvel Dr. Web, os pesquisadores identificaram o novo spyware como 'Android.Backdoor.916.origin', sem vínculos com famílias de malware conhecidas.
Entre suas diversas funcionalidades, o malware pode espionar conversas, transmitir imagens da câmera do telefone, registrar entradas do usuário por meio de um keylogger e exfiltrar dados de comunicação de aplicativos de mensagens.
A Dr. Web relata que, desde a descoberta inicial desse malware em janeiro de 2025, diversas versões subsequentes foram identificadas, indicando um desenvolvimento contínuo.
Com base nos métodos de distribuição, técnicas de infecção e no fato de que a interface oferece apenas a opção de idioma russo, os pesquisadores acreditam que o malware foi projetado para ataques direcionados contra empresas russas.
Foram observadas duas principais tentativas de branding: uma chamada "GuardCB", que imita o Banco Central da Federação Russa, e duas variantes nomeadas "SECURITY_FSB" e "ФСБ" (FSB), que supostamente tentam se passar por softwares da agência de inteligência russa.
"Além disso, sua interface disponibiliza somente o idioma russo. Ou seja, o programa malicioso é totalmente focado em usuários russos", afirma a Dr. Web.
Isto é confirmado por outras modificações detectadas com nomes como 'SECURITY_FSB', 'FSB' e outros, que os cibercriminosos tentam apresentar como programas de segurança supostamente vinculados a agências de aplicação da lei russas.
Apesar de o software antivírus não oferecer funcionalidades reais relacionadas à segurança, ele tenta imitar uma ferramenta legítima para impedir que a vítima o remova do dispositivo.
Quando o usuário clica em 'scan', a interface exibe uma simulação programada para gerar um falso resultado positivo em 30% das vezes, com o número de detecções falsas variando aleatoriamente entre 1 e 3.
Após a instalação, o malware solicita diversas permissões de alto risco, como acesso à geo-localização, SMS, arquivos de mídia, câmera, gravação de áudio, Accessibility Service e permissão para rodar em segundo plano continuamente.
Em seguida, ele inicia múltiplos serviços que se conectam ao command and control (C2) para receber comandos, tais como:
- Exfiltrar SMS, contatos, histórico de chamadas, geo-localização e imagens armazenadas
- Ativar microfone, câmera e transmissão de tela
- Capturar entradas de texto e conteúdo de mensageiros ou browsers (Telegram, WhatsApp, Gmail, Chrome, aplicativos Yandex)
- Executar comandos shell, manter persistência e habilitar autoproteção
A Dr. Web também constatou que o malware pode alternar entre até 15 provedores de hospedagem, e embora essa função ainda não esteja ativa, demonstra que a ameaça foi projetada para ser resiliente.
Os analistas disponibilizaram os indicadores completos de comprometimento (IoCs) relacionados ao Android.Backdoor.916.origin neste repositório do GitHub.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...