Russisk Android-malware udgiver sig for antivirus fra FSB

Eskil Sørensen
08.26.2025 09:32
Ny spyware retter sig mod russiske erhvervsledere med avanceret overvågning og datatyveri.

En ny Android-malware, som er identificeret som Android.Backdoor.916.origin, udgiver sig for at være antivirussoftware fra den russiske efterretningstjeneste FSB. Malwaren er designet til at rette angreb mod russiske erhvervsledere og udviser avancerede funktioner som keylogging, kamera- og mikrofonadgang samt udtræk af data fra populære apps. Bagmændene benytter social engineering og falsk branding for at narre brugere til at installere malwaren. 

Det skriver Bleeping Computer og Security Affairs.

Spørger om adgang til det meste

Det er sikkerhedsresearchere fra det russiske firma Doctor Web, der har afsløret Android-malwaren. Malwaret distribueres via APK-filer, typisk sendt som private beskeder i messenger-apps. Det fremstår som en legitim sikkerhedsapp med navne som "GuardCB", "SECURITY_FSB" og "ФСБ", og bruger ikoner og navne, der skal give indtryk af tilknytning til russiske myndigheder.

Ved installation anmoder appen om en række tilladelser, herunder adgang til geolokation, SMS, mediefiler, kamera, mikrofon og Androids Accessibility Service. Disse tilladelser giver malwaren mulighed for at:

  • Udføre keylogging og overvågning af brugerens input
  • Streame lyd, video og skærm i realtid
  • Udtrække data fra apps som Telegram, WhatsApp, Gmail og Chrome
  • Udføre shell-kommandoer og opretholde vedvarende adgang 

Appen simulerer antivirusscanninger, som i 30 pct. af tilfældene viser falske trusler for at virke troværdig og forhindre brugeren i at afinstallere den, fremgår det. 

Et særligt bekymrende aspekt er malwarens evne til at skifte mellem op til 15 forskellige hostingudbydere, hvilket gør den robust over for nedlukning af infrastruktur. 

Selvom denne funktionalitet ikke er aktiv i de nuværende versioner, indikerer det, at der er en høj grad af forberedelse og vedholdenhed bag indsatsen. Doctor Web har offentliggjort indikatorer for kompromittering (IoCs) og har underrettet relevante domæneregistratorer om misbrug.

Russisk over det hele

At malwaren tilsyneladende kommer fra FSB, er rettet mod russiske erhvervsledere og opdaget af et russisk firma, får naturligvis én til at være særligt opmærksom på lødigheden af historien. Står den til troende, kan det i al fald tyde på, at der fra FSBs side er et stærkt behov for at overvåge landsmænd, hvilket ikke er et særsyn i den del af verden. 

Uanset hvad er det heller ikke unormalt, at veldesignet malware vandrer over grænser, hvorfor det næppe vil komme som en overraskelse, hvis malwaren dukker op i en vestlig version.

 

 

Læs mere

Information