La compañía Dr. Web advierte sobre Android.Backdoor.916.origin, una cepa de malware que, bajo la apariencia de un antivirus para Android, actúa como una puerta trasera multifuncional que tiene como objetivo a representantes de empresas rusas. Es la segunda vez en los últimos meses que se descubre malware dirigido a la infraestructura del país.
Malware disfrazado de aplicación de seguridad
El malware se presenta como un supuesto antivirus denominado GuardCB y recurre a técnicas de ingeniería social para aparentar legitimidad, utilizando un icono inspirado en el emblema del Banco Central de Rusia. Otras variantes, identificadas por Dr. Web con nombres como SECURITY_FSB o ФСБ (FSB), buscan igualmente generar confianza al asociar de forma fraudulenta su imagen con organismos oficiales. El hecho de que la interfaz solo esté disponible en ruso refuerza la idea de que la campaña está orientada a usuarios locales, en particular, pertenecientes al ámbito empresarial.
El programa se distribuye mediante mensajes directos en aplicaciones de mensajería y, una vez instalado, simula un análisis de seguridad que muestra resultados falsos con el propósito de consolidar su credibilidad mientras ejecuta su actividad maliciosa.
Capacidades de espionaje y persistencia
Android.Backdoor.916.origin solicita un conjunto extenso de permisos críticos que abarcan la geolocalización, acceso a cámara y micrófono, SMS, contactos, historial de llamadas, archivos multimedia y funciones de telefonía. Además, requiere ejecución en segundo plano, privilegios de administrador del dispositivo y acceso al Servicio de Accesibilidad de Android, un elemento clave que le permite desplegar funciones de keylogger y activar sus mecanismos de autoprotección.
El abuso del Servicio de Accesibilidad posibilita al malware registrar pulsaciones de teclado e interceptar datos de aplicaciones ampliamente utilizadas como Telegram, Gmail, WhatsApp, Google Chrome, Yandex Start y Yandex Browser. Esta misma capacidad le permite bloquear su desinstalación y garantizar su permanencia en el dispositivo.
Una vez obtenidos los permisos, la puerta trasera inicia varios servicios propios en segundo plano que supervisa y reinicia automáticamente, asegurando una elevada persistencia. A través de estos servicios establece conexión con servidores de mando y control (C2) desde los que recibe instrucciones y hacia los que envía la información recopilada. La transmisión de datos se organiza mediante puertos diferenciados según su tipología, un diseño que refuerza la consistencia del proceso.
El malware cuenta con una gran capacidad para el espionaje y robo de datos, que incluye la exfiltración de SMS, contactos, registros de llamadas, imágenes y datos de ubicación; la transmisión en directo de audio desde el micrófono, de vídeo a través de la cámara y del contenido de la pantalla del dispositivo. Puede asimismo ejecutar comandos remotos, obtener información detallada sobre la red y sus interfaces y mantener comunicación constante con sus servidores de mando y control (C2). También es capaz de capturar el texto introducido en el teclado, incluidas credenciales y contraseñas, e interceptar la información de aplicaciones de mensajería y navegadores.
Una amenaza sostenida y dirigida
Las primeras versiones de Android.Backdoor.916.origin surgieron en enero de 2025 y, desde entonces, se han identificado diversas variantes que evidencian la evolución del malware. Los investigadores de Dr. Web lo consideran una herramienta de espionaje utilizada en operaciones selectivas contra representantes de empresas rusas y no una campaña de distribución masiva.
El descubrimiento se suma a un evento anterior, detectado en abril, donde una aplicación de mapas falsificada, Alpine Quest, fue utilizada para espiar al ejército ruso. Ambos incidentes evidencian un patrón sostenido de ciberespionaje contra sectores estratégicos.
Este caso ilustra cómo las amenazas no evolucionan únicamente a nivel técnico sino también a través del uso cada vez más sofisticado de la ingeniería social. Valiéndose del uso de iconos y nombres falsamente vinculados a organismos oficiales, los atacantes consiguen una apariencia de legitimidad y logran que el usuario baje la guardia. De este modo, se pone de manifiesto, una vez más, que la eficacia de los ciberataques no depende únicamente de las capacidades del código malicioso sino también de su habilidad para explotar la confianza del usuario. Por eso, las estrategias de defensa deben combinar medidas técnicas y una concienciación adecuada de los riesgos existentes.
Más información:
- Dr. Web – Android backdoor spies on employees of Russian businesses.
- Hackread – Fake Antivirus App Spreads Android Malware to Spy on Russian Users.
Deja una respuesta