Um novo malware para Android que se passa por um software antivírus criado pela Agência Federal de Serviços de Segurança da Rússia (FSB) está sendo usado para atingir executivos de empresas russas.
Em um novo relatório da empresa russa de segurança móvel Dr. Web, pesquisadores rastreiam o novo spyware como ‘Android.Backdoor.916.origin’, não encontrando vínculos com famílias de malware conhecidas.
Entre suas várias capacidades, o malware pode espionar conversas, transmitir da câmera do telefone, registrar a entrada do usuário com um keylogger ou exfiltrar dados de comunicação de aplicativos de mensagens.
O Dr. Web relata que, desde a descoberta inicial deste malware em janeiro de 2025, ele testou diversas versões subsequentes, indicando desenvolvimento contínuo.
Com base nas iscas de distribuição, nos métodos de infecção e no fato de sua interface oferecer apenas a opção em russo, os pesquisadores acreditam que ele foi projetado para ataques direcionados contra empresas russas.
O Dr. Web viu duas tentativas principais de criação de marca, uma chamada “GuardCB”, representando o Banco Central da Federação Russa, e duas variantes chamadas “SECURITY_FSB” e “ФСБ” (FSB), supostamente tentando representar um software da agência de inteligência russa.
“Ao mesmo tempo, sua interface oferece apenas um idioma: russo. Ou seja, o programa malicioso é totalmente focado em usuários russos”, relata o Dr. Web .
“Isso é confirmado por outras modificações detectadas com nomes de arquivo como “SECURITY_FSB”, “FSB” e outros, que os cibercriminosos estão tentando fazer passar por programas de segurança supostamente relacionados a agências policiais russas.”
Embora a ferramenta antivírus não tenha recursos relacionados à segurança, ela tenta imitar uma ferramenta de segurança genuína para impedir que a vítima a remova do seu dispositivo.
Quando o usuário clica em “scan”, a interface exibe uma simulação programada para retornar um resultado falso positivo em 30% das vezes, com o número de detecções falsas variando (aleatoriamente) entre 1 e 3.
Após a instalação, o malware solicita a concessão de diversas permissões de alto risco, como geolocalização, acesso a SMS e arquivos de mídia, câmera e gravação de áudio, Serviço de Acessibilidade e permissão para ser executado em segundo plano o tempo todo.
Em seguida, ele inicia vários serviços por meio dos quais se conecta ao comando e controle (C2) para receber comandos como:
- Exfiltrar SMS, contatos, histórico de chamadas, geolocalização e imagens armazenadas
- Ative o microfone, a câmera e o streaming de tela
- Capturar entrada de texto e conteúdo do messenger ou navegador (aplicativos Telegram, WhatsApp, Gmail, Chrome, Yandex)
- Execute comandos de shell, mantenha a persistência e habilite a autoproteção
O Dr. Web descobriu que o malware pode alternar entre até 15 provedores de hospedagem e, embora essa função não esteja ativa no momento, ela mostra que o malware foi projetado para ser resiliente.
