Новый Android-троян маскируется под антивирус ФСБ и атакует российских топ-менеджеров

Специалисты компании Dr. Web зафиксировали распространение вредоносного ПО, нацеленное на руководителей отечественных предприятий. Подделка под антивирусное программное обеспечение якобы от Федеральной службы безопасности России используется для кибершпионажа и сбора конфиденциальных данных.

Исследователи определили вредонос как «Android.Backdoor.916.origin». Эта программа не похожа на известные ранее семейства вирусов, демонстрируя уникальный код и структуру. По информации Dr. Web, она способна записывать разговоры, собирать видео с камеры устройства, фиксировать нажатия клавиш и перехватывать переписку в популярных мессенджерах.

С момента первого обнаружения в январе 2025 года появилось несколько новых вариантов этой программы. Это говорит о том, что авторы продолжают активно дорабатывать и адаптировать инструмент. Особое внимание эксперты Dr. Web обратили на интерфейс — он работает исключительно на русском языке, что указывает на внутреннюю направленность атаки.

Распространение осуществляется под видом приложений с «официальными» названиями. Обнаружены версии с именами «GuardCB», которые пытались выдать себя за продукт Центрального банка России, а также программы с названиями «SECURITY_FSB» и «ФСБ». Все они создавались с единственной целью — ввести пользователя в заблуждение, внушить доверие и затруднить удаление вируса с устройства.

В отчёте компании Dr. Web уточняется, что троян не содержит ни одной реальной функции по защите устройства. Он лишь имитирует интерфейс антивируса, чтобы замаскировать своё присутствие. Таким образом, жертва не замечает активность вредоносного ПО и продолжает использовать заражённый телефон в обычном режиме.

Технический анализ подтверждает, что программа предназначена для точечных атак — в первую очередь на управленцев и специалистов с доступом к чувствительной информации. Это говорит про направленный характер разработки и нацеленность авторов на получение данных из корпоративного сектора.