En la pantalla — búsqueda de amenazas, en realidad — vigilancia total. El antivirus con el emblema de la Federación Rusa resultó ser un espía.

El malware Android.Backdoor.916.origin, detectado por el laboratorio de investigación «Doctor Web», está dirigido al segmento corporativo en Rusia y cuenta con amplias capacidades para el espionaje y el robo de datos. Su objetivo principal no es la infección masiva, sino ataques puntuales contra empleados de empresas rusas. Las primeras muestras del software malicioso aparecieron en enero de 2025, tras lo cual los especialistas siguieron el desarrollo y la evolución de todas las variantes detectadas de esta amenaza.

La difusión del troyano se realiza a través de mensajes privados en mensajeros. A la víctima se le envía un archivo APK, disfrazado de antivirus bajo el nombre «GuardCB». El icono de la aplicación imita el emblema del Banco Central de Rusia, colocado sobre el fondo de un escudo, y la interfaz está completamente en ruso. Esto subraya la orientación del malware exclusivamente hacia usuarios de Rusia. También se han detectado otras variantes disfrazadas con los nombres «SECURITY_FSB» y «ФСБ», para ganarse la confianza de la víctima mediante la asociación con organismos de seguridad.

En realidad la aplicación no tiene ninguna función antivirus. Al iniciarse simula una comprobación del dispositivo, mostrando amenazas ficticias cuya probabilidad de aparición depende del tiempo transcurrido desde la «comprobación» anterior, pero no supera el 30%. La cantidad de «amenazas detectadas» se elige aleatoriamente — de una a tres.

Tras la instalación, el troyano solicita acceso a una multitud de permisos del sistema. Entre ellos — geolocalización, grabación de audio, acceso a SMS, contactos, registro de llamadas, archivos multimedia, permiso para realizar llamadas, control de la cámara, ejecución en segundo plano, privilegios de administrador del dispositivo y la activación del servicio de accesibilidad.

A continuación el programa inicia sus propios servicios y supervisa su funcionamiento, reiniciándolos cuando es necesario. A través de estos mecanismos se conecta con un servidor de control y recibe comandos. Entre ellos figuran — envío de SMS entrantes y salientes, la lista de contactos, el historial de llamadas y las coordenadas del dispositivo. También es posible transmitir audio desde el micrófono, vídeo desde la cámara y la pantalla del dispositivo, así como descargar imágenes de la tarjeta de memoria — tanto todas a la vez como según una plantilla especificada.

El backdoor es capaz de recibir y ejecutar comandos arbitrarios de shell, desactivar o activar mecanismos de autodefensa y enviar al servidor información sobre las interfaces de red del dispositivo. La transmisión de distintos tipos de datos se realiza a través de puertos separados del servidor de control.

Resulta especialmente peligrosa la utilización del servicio de accesibilidad para implementar funciones de keylogger. Mediante este mecanismo el programa intercepta el contenido mostrado en navegadores y mensajeros, así como registra el texto introducido, incluidas las contraseñas. Entre las aplicaciones vigiladas están Telegram, Chrome, Gmail, Yandex Start, Yandex Browser y WhatsApp. Además, al recibir el comando correspondiente, el malware puede bloquear los intentos de eliminarlo del dispositivo.

Android.Backdoor.916.origin admite trabajar con un amplio conjunto de servidores de control. La información sobre ellos se almacena en la configuración y su número puede llegar a quince. Aunque actualmente no se usa el cambio entre alojamientos, la posibilidad está incorporada en la arquitectura. «Doctor Web» notificó a los registradores de dominios sobre las infracciones detectadas.

El hecho de que la amenaza se difunda con apariencia de antivirus que se asemeja a programas oficiales de organismos estatales la hace especialmente peligrosa en el contexto de la ingeniería social.