Νέο Android malware μιμείται antivirus της ρωσικής FSB
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο Android malware μιμείται antivirus της ρωσικής FSB
https://www.secnews.gr/656946/android-malware-mimeitai-antivirus-fsb/
Aug 25th 2025, 12:52
by Digital Fortress
Media files:
https://www.youtube.com/embed/g7KD6BVhbVc
Ένα νέο Android malware, το οποίο εμφανίζεται ως antivirus (εργαλείο προστασίας από ιούς), προκαλεί ανησυχίες στον τομέα της κυβερνοασφάλειας. Σύμφωνα με έκθεση της ρωσικής εταιρείας ασφάλειας Dr. Web, το συγκεκριμένο spyware – που φέρει την κωδική ονομασία Android.Backdoor.916.origin – παρουσιάζεται ως λογισμικό ασφαλείας της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) της Ρωσίας και στοχεύει στελέχη ρωσικών επιχειρήσεων.
Ένα κακόβουλο λογισμικό με… πατριωτικό προσανατολισμό
Οι ερευνητές εντόπισαν το λογισμικό να διανέμεται μέσω εφαρμογών που υποτίθεται ότι προσφέρουν προστασία από ιούς, ωστόσο στην πραγματικότητα δεν περιλαμβάνει καμία σχετική λειτουργία. Αντιθέτως, μόλις εγκατασταθεί, αποκτά πρόσβαση σε μια πληθώρα ευαίσθητων δεδομένων του χρήστη. Η διεπαφή της εφαρμογής είναι διαθέσιμη μόνο στα ρωσικά, γεγονός που υποδηλώνει ξεκάθαρα ότι το spyware έχει σχεδιαστεί αποκλειστικά για στοχευμένες επιθέσεις εντός Ρωσίας.
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Σημαντικό είναι επίσης το branding που επιχειρούν οι δημιουργοί του: σε κάποιες περιπτώσεις, εμφανίζεται με το όνομα "GuardCB", παραπέμποντας στην Κεντρική Τράπεζα της Ρωσίας, ενώ σε άλλες περιπτώσεις φέρει ονομασίες όπως "SECURITY_FSB" ή "ФСБ", δίνοντας την εντύπωση ότι προέρχεται από τις ρωσικές μυστικές υπηρεσίες. Με τον τρόπο αυτό, προσπαθεί να κερδίσει την εμπιστοσύνη των θυμάτων και να αποτρέψει την απεγκατάστασή του.
Από ψεύτικες σάρωσεις σε πλήρη έλεγχο συσκευών
Μία από τις πιο χαρακτηριστικές μεθόδους παραπλάνησης είναι η «σάρωση» της συσκευής. Όταν ο χρήστης πατήσει το αντίστοιχο κουμπί, η εφαρμογή εμφανίζει ψεύτικα αποτελέσματα: σε περίπου 30% των περιπτώσεων αναφέρει ότι εντόπισε από 1 έως 3 «απειλές», δημιουργώντας την ψευδαίσθηση ενός πραγματικού antivirus.
Πίσω από αυτή την απατηλή οθόνη, όμως, κρύβεται ένα ισχυρό εργαλείο παρακολούθησης. Το Android.Backdoor.916.origin ζητά μια σειρά από δικαιώματα υψηλού κινδύνου, όπως πρόσβαση σε SMS, κλήσεις, πολυμέσα, γεωγραφική τοποθεσία, μικρόφωνο και κάμερα. Μέσω αυτών μπορεί:
• Να εξάγει SMS, επαφές, ιστορικό κλήσεων και φωτογραφίες.
• Να ενεργοποιεί μικρόφωνο και κάμερα, καταγράφοντας περιβάλλον και συνομιλίες.
• Να καταγράφει την πληκτρολόγηση (keylogging) και να αποσπά δεδομένα από δημοφιλείς εφαρμογές όπως Telegram, WhatsApp, Gmail, Chrome και Yandex.
• Να εκτελεί εντολές τύπου shell, διατηρώντας πρόσβαση ακόμα κι αν ο χρήστης προσπαθήσει να το απενεργοποιήσει.
Η Dr. Web υπογραμμίζει ότι η ανάπτυξη του Android malware συνεχίζεται, με νέες εκδόσεις να εμφανίζονται συνεχώς από τον Ιανουάριο του 2025 μέχρι σήμερα. Αυτό δείχνει μια οργανωμένη και μακροπρόθεσμη προσπάθεια των δραστών να στοχεύσουν ρωσικές επιχειρήσεις.
Δείτε επίσης: Κατάχρηση Microsoft Help Index Files για εκτέλεση του PipeMagic malware
Ανθεκτικότητα και υποδομή
Ένα ακόμα ανησυχητικό χαρακτηριστικό είναι η δυνατότητα του κακόβουλου λογισμικού να συνδέεται με έως και 15 διαφορετικούς παρόχους hosting. Αν και αυτή η λειτουργία δεν είναι ενεργή στην τρέχουσα έκδοση, καταδεικνύει ότι το λογισμικό έχει σχεδιαστεί για μέγιστη ανθεκτικότητα απέναντι σε απόπειρες εντοπισμού και εξουδετέρωσης.
Οι δείκτες παραβίασης (Indicators of Compromise – IoCs) έχουν δημοσιευτεί από τη Dr. Web σε σχετικό GitHub repository, ώστε οι ειδικοί ασφάλειας να μπορούν να αναγνωρίσουν και να αντιμετωπίσουν εγκαίρως πιθανές μολύνσεις.
Νέο Android malware: Τι σημαίνει για τον επιχειρηματικό κόσμο;
Για τις ρωσικές επιχειρήσεις, η ύπαρξη ενός τέτοιου spyware σημαίνει ότι οι κίνδυνοι διαρροής εμπιστευτικών δεδομένων είναι τεράστιοι. Στρατηγικές πληροφορίες, οικονομικά στοιχεία, ακόμη και προσωπικές συνομιλίες στελεχών μπορούν να πέσουν σε λάθος χέρια. Η Dr. Web προειδοποιεί ότι οι εταιρείες οφείλουν να ενισχύσουν τα μέτρα ασφαλείας τους, δίνοντας ιδιαίτερη έμφαση σε mobile συσκευές που μέχρι πρόσφατα συχνά υποτιμούνταν ως πηγή κινδύνου.
Σε παγκόσμιο επίπεδο, η υπόθεση αναδεικνύει μια ακόμη πιο ανησυχητική τάση: τη χρήση λογισμικού κατασκοπείας που μιμείται εφαρμογές από κρατικούς φορείς.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Το Android.Backdoor.916.origin δεν είναι απλώς ένα ακόμα δείγμα κακόβουλου λογισμικού. Είναι μια ένδειξη του πώς οι κυβερνοαπειλές εξελίσσονται, αποκτώντας στρατηγικό προσανατολισμό. Για τους χρήστες Android – και ιδιαίτερα για στελέχη επιχειρήσεων – το μήνυμα είναι ξεκάθαρο: η εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές μπορεί να ανοίξει την πόρτα σε οργανωμένες και εξαιρετικά επικίνδυνες επιθέσεις.
Σε έναν κόσμο όπου η πληροφορία αποτελεί το πιο πολύτιμο νόμισμα, το συγκεκριμένο spyware αποδεικνύει ότι ο πόλεμος των δεδομένων βρίσκεται πλέον στο χέρι μας – κυριολεκτικά, μέσα στις συσκευές που κουβαλάμε κάθε μέρα.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - Νέο Android malware μιμείται antivirus της ρωσικής FSB
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο Android malware μιμείται antivirus της ρωσικής FSB
https://www.secnews.gr/656946/android-malware-mimeitai-antivirus-fsb/
Aug 25th 2025, 12:52
by Digital Fortress
Media files:
https://www.youtube.com/embed/g7KD6BVhbVc
Ένα νέο Android malware, το οποίο εμφανίζεται ως antivirus (εργαλείο προστασίας από ιούς), προκαλεί ανησυχίες στον τομέα της κυβερνοασφάλειας. Σύμφωνα με έκθεση της ρωσικής εταιρείας ασφάλειας Dr. Web, το συγκεκριμένο spyware – που φέρει την κωδική ονομασία Android.Backdoor.916.origin – παρουσιάζεται ως λογισμικό ασφαλείας της Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) της Ρωσίας και στοχεύει στελέχη ρωσικών επιχειρήσεων.
Ένα κακόβουλο λογισμικό με… πατριωτικό προσανατολισμό
Οι ερευνητές εντόπισαν το λογισμικό να διανέμεται μέσω εφαρμογών που υποτίθεται ότι προσφέρουν προστασία από ιούς, ωστόσο στην πραγματικότητα δεν περιλαμβάνει καμία σχετική λειτουργία. Αντιθέτως, μόλις εγκατασταθεί, αποκτά πρόσβαση σε μια πληθώρα ευαίσθητων δεδομένων του χρήστη. Η διεπαφή της εφαρμογής είναι διαθέσιμη μόνο στα ρωσικά, γεγονός που υποδηλώνει ξεκάθαρα ότι το spyware έχει σχεδιαστεί αποκλειστικά για στοχευμένες επιθέσεις εντός Ρωσίας.
Δείτε επίσης: Το QuirkyLoader βοηθά στη διανομή infostealer malware
Σημαντικό είναι επίσης το branding που επιχειρούν οι δημιουργοί του: σε κάποιες περιπτώσεις, εμφανίζεται με το όνομα "GuardCB", παραπέμποντας στην Κεντρική Τράπεζα της Ρωσίας, ενώ σε άλλες περιπτώσεις φέρει ονομασίες όπως "SECURITY_FSB" ή "ФСБ", δίνοντας την εντύπωση ότι προέρχεται από τις ρωσικές μυστικές υπηρεσίες. Με τον τρόπο αυτό, προσπαθεί να κερδίσει την εμπιστοσύνη των θυμάτων και να αποτρέψει την απεγκατάστασή του.
Από ψεύτικες σάρωσεις σε πλήρη έλεγχο συσκευών
Μία από τις πιο χαρακτηριστικές μεθόδους παραπλάνησης είναι η «σάρωση» της συσκευής. Όταν ο χρήστης πατήσει το αντίστοιχο κουμπί, η εφαρμογή εμφανίζει ψεύτικα αποτελέσματα: σε περίπου 30% των περιπτώσεων αναφέρει ότι εντόπισε από 1 έως 3 «απειλές», δημιουργώντας την ψευδαίσθηση ενός πραγματικού antivirus.
Πίσω από αυτή την απατηλή οθόνη, όμως, κρύβεται ένα ισχυρό εργαλείο παρακολούθησης. Το Android.Backdoor.916.origin ζητά μια σειρά από δικαιώματα υψηλού κινδύνου, όπως πρόσβαση σε SMS, κλήσεις, πολυμέσα, γεωγραφική τοποθεσία, μικρόφωνο και κάμερα. Μέσω αυτών μπορεί:
• Να εξάγει SMS, επαφές, ιστορικό κλήσεων και φωτογραφίες.
• Να ενεργοποιεί μικρόφωνο και κάμερα, καταγράφοντας περιβάλλον και συνομιλίες.
• Να καταγράφει την πληκτρολόγηση (keylogging) και να αποσπά δεδομένα από δημοφιλείς εφαρμογές όπως Telegram, WhatsApp, Gmail, Chrome και Yandex.
• Να εκτελεί εντολές τύπου shell, διατηρώντας πρόσβαση ακόμα κι αν ο χρήστης προσπαθήσει να το απενεργοποιήσει.
Η Dr. Web υπογραμμίζει ότι η ανάπτυξη του Android malware συνεχίζεται, με νέες εκδόσεις να εμφανίζονται συνεχώς από τον Ιανουάριο του 2025 μέχρι σήμερα. Αυτό δείχνει μια οργανωμένη και μακροπρόθεσμη προσπάθεια των δραστών να στοχεύσουν ρωσικές επιχειρήσεις.
Δείτε επίσης: Κατάχρηση Microsoft Help Index Files για εκτέλεση του PipeMagic malware
Ανθεκτικότητα και υποδομή
Ένα ακόμα ανησυχητικό χαρακτηριστικό είναι η δυνατότητα του κακόβουλου λογισμικού να συνδέεται με έως και 15 διαφορετικούς παρόχους hosting. Αν και αυτή η λειτουργία δεν είναι ενεργή στην τρέχουσα έκδοση, καταδεικνύει ότι το λογισμικό έχει σχεδιαστεί για μέγιστη ανθεκτικότητα απέναντι σε απόπειρες εντοπισμού και εξουδετέρωσης.
Οι δείκτες παραβίασης (Indicators of Compromise – IoCs) έχουν δημοσιευτεί από τη Dr. Web σε σχετικό GitHub repository, ώστε οι ειδικοί ασφάλειας να μπορούν να αναγνωρίσουν και να αντιμετωπίσουν εγκαίρως πιθανές μολύνσεις.
Νέο Android malware: Τι σημαίνει για τον επιχειρηματικό κόσμο;
Για τις ρωσικές επιχειρήσεις, η ύπαρξη ενός τέτοιου spyware σημαίνει ότι οι κίνδυνοι διαρροής εμπιστευτικών δεδομένων είναι τεράστιοι. Στρατηγικές πληροφορίες, οικονομικά στοιχεία, ακόμη και προσωπικές συνομιλίες στελεχών μπορούν να πέσουν σε λάθος χέρια. Η Dr. Web προειδοποιεί ότι οι εταιρείες οφείλουν να ενισχύσουν τα μέτρα ασφαλείας τους, δίνοντας ιδιαίτερη έμφαση σε mobile συσκευές που μέχρι πρόσφατα συχνά υποτιμούνταν ως πηγή κινδύνου.
Σε παγκόσμιο επίπεδο, η υπόθεση αναδεικνύει μια ακόμη πιο ανησυχητική τάση: τη χρήση λογισμικού κατασκοπείας που μιμείται εφαρμογές από κρατικούς φορείς.
Δείτε επίσης: Phishing: Διανομή Noodlophile malware με νέα "δολώματα"
Το Android.Backdoor.916.origin δεν είναι απλώς ένα ακόμα δείγμα κακόβουλου λογισμικού. Είναι μια ένδειξη του πώς οι κυβερνοαπειλές εξελίσσονται, αποκτώντας στρατηγικό προσανατολισμό. Για τους χρήστες Android – και ιδιαίτερα για στελέχη επιχειρήσεων – το μήνυμα είναι ξεκάθαρο: η εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές μπορεί να ανοίξει την πόρτα σε οργανωμένες και εξαιρετικά επικίνδυνες επιθέσεις.
Σε έναν κόσμο όπου η πληροφορία αποτελεί το πιο πολύτιμο νόμισμα, το συγκεκριμένο spyware αποδεικνύει ότι ο πόλεμος των δεδομένων βρίσκεται πλέον στο χέρι μας – κυριολεκτικά, μέσα στις συσκευές που κουβαλάμε κάθε μέρα.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - Νέο Android malware μιμείται antivirus της ρωσικής FSB
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672