Aplicativo antivírus falso espalha malware para Android para espionar usuários russos

O Doctor Web alerta sobre o Android.Backdoor.916.origin, um aplicativo antivírus falso que espiona usuários russos roubando dados e transmitindo áudio e vídeo.

Pesquisadores de segurança cibernética da Doctor Web alertam sobre uma nova cepa de malware para Android chamada Android.Backdoor.916.origin . O malware está em operação desde janeiro de 2025 e é capaz de escutar conversas, roubar mensagens, transmitir vídeos e registrar pressionamentos de tecla.

Esta é a segunda vez nos últimos quatro meses que pesquisadores identificam malware visando infraestrutura russa. Em abril de 2022 , o Doctor Web expôs um aplicativo de mapeamento falso, o Alpine Quest, que espionava o exército russo.

A equipe do Doctor Web acredita que não se trata de uma tentativa de infecção em massa direcionada a usuários comuns de Android, mas sim de uma ferramenta criada para atingir representantes comerciais russos. O método de distribuição corrobora essa teoria, já que os invasores estão distribuindo o malware por meio de mensagens diretas em aplicativos de mensagens instantâneas, disfarçando-o como um antivírus chamado GuardCB.

O aplicativo falso usa um disfarce para enganar as vítimas. Seu ícone lembra o emblema do Banco Central Russo colocado em um escudo, o que o torna confiável. Uma vez instalado, ele executa o que parece ser uma varredura antivírus, com resultados de detecção falsos gerados aleatoriamente para parecer convincentes.

“ Isso é confirmado por outras modificações detectadas com nomes como “SECURITY_FSB”, “ФСБ” (FSB) e outros, que os cibercriminosos estão tentando fazer passar como programas relacionados à segurança, supostamente relacionados às agências policiais russas ” , observaram os pesquisadores do Dr. Web em sua postagem no blog .

Uma vez instalado, o backdoor solicita uma lista de permissões, desde geolocalização e gravação de áudio até acesso à câmera e dados de SMS. Ele também exige direitos de administrador do dispositivo e acesso ao Serviço de Acessibilidade do Android, o que lhe permite atuar como um keylogger e interceptar conteúdo de aplicativos populares, incluindo os seguintes:

• Gmail
• Telegrama
• WhatsApp
• Navegador Yandex
• Google Chrome

Pesquisadores da Doctor Web explicam que o malware foi projetado para persistência. Ele inicia seus próprios serviços em segundo plano, verifica se estão em execução a cada minuto e os reinicia, se necessário. Ele também se comunica com vários servidores de comando e controle, capazes de alternar entre até 15 provedores de hospedagem, caso os invasores queiram manter a infraestrutura ativa.

A lista de comandos disponíveis, disponível no relatório do Doctor Web, demonstra a extensão de suas capacidades de espionagem. Ele pode transmitir áudio ao vivo de um microfone, transmitir vídeo da câmera, roubar texto enquanto os usuários o digitam e enviar contatos, SMS, imagens e histórico de chamadas. Além disso, ele ainda tem a capacidade de transmitir a tela de um dispositivo em tempo real.

O malware também se aproveita do Serviço de Acessibilidade do Android como forma de se proteger. Esse recurso é utilizado de forma abusiva não apenas para roubar teclas digitadas, mas também para bloquear tentativas de remoção do malware caso os invasores emitam tal comando. Essa capacidade de autoproteção significa que, mesmo que as vítimas percebam que seu dispositivo está comprometido, a remoção pode ser difícil sem um software de segurança dedicado.

O Doctor Web observa que, embora o malware seja avançado, ele também é altamente localizado. Sua interface está disponível apenas em russo, o que reforça a ideia de que foi desenvolvido com um grupo específico de alvos em mente.

Se você for um usuário do Android na Rússia, baixe aplicativos apenas de fontes confiáveis e evite que a natureza de código aberto do Android se torne um convite aberto para hackers.