2025 januárja óta több frissítést is kapott már az a kamu vírusirtó, amit az orosz Dr. Web cég kutatói fedeztek fel.
Új androidos kémprogramra bukkant az orosz mobilbiztonsági cég, a Dr. Web. A kutatók jelentése szerint az Android.Backdoor.916.origin néven azonosított kártevő vizsgálatakor egyetlen ismert vírussal sem találtak kapcsolatot. A kémprogramot úgy tervezték meg, mintha egy vírusirtó lenne, és azt az orosz Szövetségi Biztonsági Szolgálat (FSZB) készítette volna. Valójában az orosz vállalkozások vezetőit célozza meg.
A program különböző dolgokra képes, például rálát a beszélgetésekre, közvetíteni tudja a telefon kamerája által látott képet, naplózza, hogy mit ír a felhasználó, valamint adatokat lophat az üzenetküldő alkalmazásokból.
A programot először 2025 januárjában észlelték a szakemberek, azóta pedig több verzió is megjelent belőle, ami folyamatos fejlesztésre utal. A kutatók szerint a fertőzés módja, valamint az, hogy csak orosz nyelvű az alkalmazás arra enged következtetni, hogy az országon belüli felhasználásra szánták.
Egy új Android-malware, amely víruskereső szoftvernek álcázza magát, és amelyet az orosz Szövetségi Biztonsági Szolgálat (FSZB) fejlesztett ki, orosz vállalkozások vezetőinek célba vételére szolgál.
Az orosz Dr. Web mobilbiztonsági cég új jelentésében a kutatók az új kémprogramot „Android.Backdoor.916.origin” néven azonosították, és nem találtak kapcsolatot ismert kártevőcsaládokkal.
A kártevő különféle képességei között szerepel a beszélgetések megfigyelése, a telefon kamerájából való streamelés, a felhasználói bevitel naplózása billentyűnaplózóval, vagy kommunikációs adatok kinyerése üzenetküldő alkalmazásokból.
A Dr. Web jelentése szerint a kártevő 2025 januári felfedezése óta több egymást követő verziót is tesztelt, ami folyamatos fejlesztésre utal.
A terjesztési csalit, a fertőzési módszereket és azt a tényt alapul véve, hogy a kezelőfelület csak orosz nyelvi opciót kínál, a kutatók úgy vélik, hogy az orosz vállalkozások elleni célzott támadásokra tervezték.
A Dr. Web két fő márkaépítési kísérletet látott, az egyiket „GuardCB”-nek nevezték, amely az Orosz Föderáció Központi Bankját adta ki, valamint két variánst, „SECURITY_FSB”-t és „ФСБ”-t (FSB), amelyek állítólag az orosz hírszerző ügynökség szoftvereinek megszemélyesítésére törekedtek.
„Ugyanakkor a kezelőfelülete csak egy nyelvet biztosít – oroszt. Vagyis a rosszindulatú program teljes mértékben az orosz felhasználókra összpontosít” – jelenti Dr. Web .
„Ezt megerősítik más észlelt módosítások is, amelyek olyan fájlneveket tartalmaznak, mint például a „SECURITY_FSB”, az „FSB” és mások, amelyeket a kiberbűnözők állítólag az orosz bűnüldöző szervekhez kapcsolódó biztonsági programokként próbálnak beállítani.”
Bár a víruskereső eszköz nem rendelkezik biztonsággal kapcsolatos funkciókkal, megpróbál egy valódi biztonsági eszközt utánozni, hogy megakadályozza az áldozatot abban, hogy eltávolítsa azt az eszközéről.
Amikor a felhasználó a „szkennelés” gombra kattint, a felület egy olyan szimulációt jelenít meg, amely az esetek 30%-ában álpozitív eredményt ad, a téves észlelések száma (véletlenszerűen) 1 és 3 között mozog.
A telepítéskor a kártevő számos magas kockázatú engedélyt kér, például a földrajzi helymeghatározást, az SMS- és médiafájlokhoz való hozzáférést, a kamera- és hangfelvételek készítését, az akadálymentesítési szolgáltatást, valamint a háttérben való folyamatos futtatás engedélyét.
Ezután több szolgáltatást indít, amelyeken keresztül csatlakozik a parancsnoksághoz és vezérléshez (C2), hogy olyan parancsokat fogadjon, mint:
- SMS-ek, névjegyek, hívásnapló, földrajzi helyadatok és tárolt képek kinyerése
- Aktiválja a mikrofont, a kamerát és a képernyő streamelését
- Szövegbevitel és Messenger vagy böngésző tartalmának rögzítése (Telegram, WhatsApp, Gmail, Chrome, Yandex alkalmazások)
- Héjparancsok végrehajtása, perzisztencia fenntartása és önvédelem engedélyezése
A Dr. Web megállapította, hogy a rosszindulatú program akár 15 tárhelyszolgáltató között is képes váltani, és bár ez a funkció jelenleg nem aktív, azt mutatja, hogy a rosszindulatú programot rugalmasságra tervezték.
Tovább a cikkre: bleepingcomputer.com és HVG.hu
