俄企高管手机遭仿冒杀毒软件实时监控，间谍程序伪装安全局工具窃密​

俄罗斯移动安全公司Dr. Web最新报告披露，新型安卓间谍软件“Android.Backdoor.916.origin”伪装成俄罗斯联邦安全局（FSB）开发的杀毒工具，针对本国企业高管发起定向攻击。该恶意软件具备窃听对话、调用摄像头实时监控、记录键盘输入及窃取通讯应用数据等多项监控功能。

自2025年1月首次发现以来，该恶意软件已迭代多个版本，表明其处于持续开发中。研究人员根据分发诱饵、感染方式及仅提供俄语界面的特性，判定其专为针对俄罗斯企业设计。

攻击者采用两种主要伪装策略：一款名为“GuardCB”的应用冒充俄罗斯中央银行，另两款变体“SECURITY_FSB”和“ФСБ”（FSB）则仿冒俄罗斯情报机构的官方软件。Dr. Web强调：“其界面仅支持俄语，表明该程序完全针对俄罗斯用户。文件名中出现的‘SECURITY_FSB’等标识进一步证实，网络犯罪分子试图将其伪装成与俄执法机构相关的安全程序”。

尽管该程序缺乏实际安全功能，但通过模拟杀毒软件界面阻止用户卸载。用户点击“扫描”后，界面会以30%的概率随机生成1至3个虚假威胁报告以博取信任。

安装后，恶意软件会索要多项高危权限：

1. 地理位置访问
2. 短信及媒体文件读取
3. 摄像头与录音调用
4. 无障碍服务控制
5. 后台持续运行权限

随后启动多项服务连接命令控制（C2）服务器，接收包括以下指令：

1. 窃取短信、联系人、通话记录、地理位置及存储图像
2. 激活麦克风窃听、摄像头监控及屏幕流捕捉
3. 捕获通讯应用与浏览器内容（Telegram、WhatsApp、Gmail、Chrome及Yandex应用）
4. 执行远程命令、维持持久化访问并启用自我保护机制

Dr. Web发现该恶意软件可切换多达15个托管服务提供商，虽当前未激活此功能，但表明其具备高弹性设计。

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；