Un'app antivirus falsa diffonde malware Android per spiare gli utenti russi

Doctor Web mette in guardia da Android.Backdoor.916.origin, una falsa app antivirus che spia gli utenti russi rubando dati e trasmettendo in streaming audio e video.

I ricercatori di sicurezza informatica di Doctor Web lanciano l'allarme su un nuovo ceppo di malware Android chiamato Android.Backdoor.916.origin . Il malware è operativo da gennaio 2025 ed è in grado di ascoltare conversazioni, rubare messaggi, riprodurre video in streaming e registrare le sequenze di tasti premuti.

Questa è la seconda volta negli ultimi quattro mesi che i ricercatori individuano un malware che prende di mira le infrastrutture russe. Nell'aprile 2022 , Doctor Web ha smascherato una falsa app di mappatura Alpine Quest che spiava l'esercito russo.

Il team di Doctor Web ritiene che non si tratti di un tentativo di infezione di massa mirato ai normali possessori di Android, ma di uno strumento creato per colpire i rappresentanti aziendali russi. Il metodo di distribuzione avvalora questa teoria: gli aggressori diffondono il malware tramite messaggi diretti sui messenger, camuffandolo da antivirus chiamato GuardCB.

L'app fasulla sfrutta un travestimento per ingannare le vittime. La sua icona ricorda l'emblema della Banca Centrale Russa su uno scudo, il che la rende apparentemente affidabile. Una volta installata, esegue quella che sembra una scansione antivirus, completa di falsi risultati di rilevamento generati casualmente per apparire convincenti.

" Ciò è confermato da altre modifiche rilevate con nomi come "SECURITY_FSB", "ФСБ" (FSB) e altri, che i criminali informatici stanno cercando di far passare per programmi relativi alla sicurezza che presumibilmente sono collegati alle forze dell'ordine russe " , hanno osservato i ricercatori di Dr Web nel loro post sul blog .

Una volta installata, la backdoor richiede un elenco di autorizzazioni, dalla geolocalizzazione alla registrazione audio, dall'accesso alla fotocamera ai dati degli SMS. Richiede inoltre i diritti di amministratore del dispositivo e l'accesso al Servizio di Accessibilità di Android, che le consente di agire come un keylogger e intercettare i contenuti delle app più diffuse, tra cui:

• Gmail
• Telegramma
• WhatsApp
• Browser Yandex
• Google Chrome

I ricercatori di Doctor Web spiegano che il malware è progettato per essere persistente. Avvia i propri servizi in background, verifica ogni minuto se sono in esecuzione e li riavvia se necessario. Comunica inoltre con più server di comando e controllo, in grado di passare da un massimo di 15 provider di hosting all'altro se gli aggressori vogliono mantenere attiva l'infrastruttura.

L'elenco dei comandi disponibili, reperibile nel report di Doctor Web, mostra l'entità delle sue capacità di spionaggio. Può trasmettere in streaming audio in diretta da un microfono, trasmettere video dalla telecamera, rubare il testo mentre gli utenti lo digitano e caricare contatti, SMS, immagini e cronologia delle chiamate. Inoltre, è persino in grado di trasmettere in streaming lo schermo di un dispositivo in tempo reale.

Il malware sfrutta anche il servizio di accessibilità di Android come strumento di protezione. Questa funzionalità viene sfruttata non solo per rubare le sequenze di tasti premuti, ma anche per bloccare i tentativi di rimozione del malware se gli aggressori impartiscono un comando del genere. Questa capacità di autoprotezione implica che, anche se le vittime si rendono conto che il loro dispositivo è compromesso, la rimozione può essere difficile senza un software di sicurezza dedicato.

Doctor Web sottolinea che, sebbene il malware sia avanzato, è anche altamente localizzato. La sua interfaccia è disponibile solo in russo, avvalorando l'ipotesi che sia stato sviluppato pensando a un gruppo specifico di obiettivi.

Se sei un utente Android in Russia, scarica app solo da fonti attendibili ed evita che la natura open source di Android diventi un invito aperto agli hacker.