Una falsa aplicación antivirus propaga malware en Android para espiar a usuarios rusos

Doctor Web advierte sobre Android.Backdoor.916.origin, una aplicación antivirus falsa que espía a los usuarios rusos robando datos y transmitiendo audio y video.

Investigadores de ciberseguridad de Doctor Web advierten sobre una nueva cepa de malware para Android llamada Android.Backdoor.916.origin . Este malware lleva operativo desde enero de 2025 y es capaz de escuchar conversaciones, robar mensajes, transmitir vídeo y registrar pulsaciones de teclas.

Esta es la segunda vez en los últimos cuatro meses que los investigadores detectan malware dirigido a la infraestructura rusa. En abril de 2022 , Doctor Web expuso una aplicación de mapas falsa, Alpine Quest, que espiaba al ejército ruso.

El equipo de Doctor Web cree que no se trata de un intento de infección masiva dirigido a usuarios comunes de Android, sino de una herramienta creada para atacar a representantes de empresas rusas. El método de distribución respalda esta teoría, ya que los atacantes distribuyen el malware a través de mensajes directos en aplicaciones de mensajería, camuflándolo como un antivirus llamado GuardCB.

La aplicación falsa usa un disfraz para engañar a las víctimas. Su icono se asemeja al emblema del Banco Central de Rusia sobre un escudo, lo que le da una apariencia de fiabilidad. Una vez instalada, ejecuta lo que parece un análisis antivirus, con resultados de detección falsos generados aleatoriamente para parecer convincentes.

“ Esto se confirma con otras modificaciones detectadas con nombres como “SECURITY_FSB”, “ФСБ” (FSB) y otros, que los cibercriminales intentan hacer pasar como programas relacionados con la seguridad que supuestamente están relacionados con las agencias policiales rusas ” , señalaron los investigadores de Dr Web en su publicación de blog .

Una vez instalada, la puerta trasera solicita una lista de permisos, desde geolocalización y grabación de audio hasta acceso a la cámara y datos SMS. También exige derechos de administrador del dispositivo y acceso al Servicio de Accesibilidad de Android, lo que le permite actuar como un keylogger e interceptar contenido de aplicaciones populares, como las siguientes:

• Gmail
• Telegrama
• WhatsApp
• Navegador Yandex
• Google Chrome

Los investigadores de Doctor Web explican que el malware está diseñado para persistencia. Inicia sus propios servicios en segundo plano, comprueba su ejecución cada minuto y los reinicia si es necesario. También se comunica con múltiples servidores de comando y control, capaces de alternar entre hasta 15 proveedores de alojamiento si los atacantes desean mantener la infraestructura activa.

La lista de comandos disponibles, disponible en el informe de Doctor Web, muestra el alcance de sus capacidades de espionaje. Puede transmitir audio en vivo desde un micrófono, transmitir video desde la cámara, robar texto mientras los usuarios lo escriben y subir contactos, SMS, imágenes e historial de llamadas. Además, puede transmitir la pantalla de un dispositivo en tiempo real.

El malware también se aprovecha del Servicio de Accesibilidad de Android para protegerse. Esta función se utiliza no solo para robar pulsaciones de teclas, sino también para bloquear los intentos de eliminar el malware si los atacantes emiten un comando de este tipo. Esta capacidad de autoprotección implica que, incluso si las víctimas se dan cuenta de que su dispositivo está comprometido, la eliminación puede ser difícil sin un software de seguridad específico.

Doctor Web señala que, si bien el malware es avanzado, también está altamente localizado. Su interfaz solo está disponible en ruso, lo que respalda la idea de que fue desarrollado para un grupo específico de objetivos.

Si es usuario de Android en Rusia, descargue aplicaciones únicamente de fuentes confiables y evite que la naturaleza de código abierto de Android se convierta en una invitación abierta para los piratas informáticos.