Se está utilizando un nuevo malware Android que se hace pasar por un software de herramienta antivirus creado por la Agencia Federal de Servicios de Seguridad de Rusia (FSB) para atacar a los ejecutivos de las empresas rusas.
En un nuevo informe de la firma de seguridad móvil rusa Dr. Web, los investigadores rastrean el nuevo spyware como ‘Android.Backdoor.916.origin’, no se encuentran enlaces a familias de malware conocidas.
Entre sus diversas capacidades, el malware puede husmear las conversaciones, transmitir desde la cámara del teléfono, registrar la entrada del usuario con un keylogger o exfiltrarse de datos de comunicación de las aplicaciones de Messenger.
El Dr. Web informa que, desde el descubrimiento inicial de este malware en enero de 2025, ha probado múltiples versiones posteriores, lo que indica un desarrollo continuo.
Según los señuelos de distribución, los métodos de infección y el hecho de que su interfaz solo ofrece la opción del idioma ruso, los investigadores creen que fue diseñado para ataques específicos contra las empresas rusas.
El Dr. Web ha visto dos intentos principales de marca, uno llamado «GuardCB», que se hace pasar por el banco central de la Federación Rusa, y dos variantes llamadas «Security_FSB» y «фсiante» (FSB), que supuestamente intentan hacerse un software de la Agencia de Inteligencia Rusa.
«Al mismo tiempo, su interfaz proporciona solo un idioma: ruso. Es decir, el programa malicioso se centra por completo en los usuarios rusos», informa al Dr. Web.
«Esto es confirmado por otras modificaciones detectadas con nombres de archivos como» Security_FSB «,» FSB «y otros, que los ciberdelincuentes están tratando de aprobar como programas de seguridad supuestamente relacionados con las agencias de aplicación de la ley rusa».
Aunque la herramienta antivirus carece de características relacionadas con la seguridad, intenta imitar una herramienta de seguridad genuina para evitar que la víctima la elimine de su dispositivo.
Escaneo AV falso en la aplicaciónFuente: Dr. Web
Cuando el usuario hace clic en ‘escanear’, la interfaz muestra una simulación programada para devolver un resultado positivo falso en el 30% del tiempo, con el número de detecciones falsas que oscilan (al azar) entre 1 y 3.
Tras la instalación, las solicitudes de malware que otorgan varios permisos de alto riesgo como la ubicación geográfica, acceso a SMS y archivos multimedia, grabación de cámara y audio, servicio de accesibilidad y permiso para ejecutarse en segundo plano en todo momento.
Permiso para eliminar todos los datos y cambiar la pantalla de bloqueo (izquierda) y la configuración de accesibilidad (derecha)Fuente: Dr. Web
A continuación, inicia múltiples servicios a través de los cuales se conecta al comando y al control (C2) para recibir comandos como:
Exfiltrado SMS, contactos, historial de llamadas, ubicación geográfica e imágenes almacenadas
Active el micrófono, la cámara y la transmisión de pantalla
Captura de entrada de texto y contenido de mensajero o navegador (Telegram, WhatsApp, Gmail, Chrome, Yandex Apps)
Ejecutar comandos de shell, mantener la persistencia y habilitar la autoprotección
El Dr. Web descubrió que el malware puede cambiar entre hasta 15 proveedores de alojamiento, y aunque esta función no está actualmente activa, muestra que el malware está diseñado para la resiliencia.
Los analistas compartieron los indicadores completos de compromiso relacionados con Android.Backdoor.916.origin On Este repositorio de Github.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
Obtenga el informe azul 2025