Por Mid 
Un falso antivirus esconde una puerta trasera para el ciberespionaje de empresas rusas
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Alta
Conclusiones clave
- El malware Android.Backdoor.916.origin se disfraza como un antivirus legítimo, engañando a los usuarios.
- Requiere permisos críticos que le permiten interceptar datos e información sensible de aplicaciones populares.
- Su capacidad de persistencia y su conexión con servidores de mando y control lo hacen altamente efectivo para el ciberespionaje.
- Las tácticas de ingeniería social son fundamentales en su estrategia para atraer a los usuarios a instalar el malware.
- Este tipo de amenazas subraya la necesidad de crear conciencia sobre la seguridad cibernética en entornos empresariales.
Índice
- El malware enmascarado como aplicación de seguridad
- Funciones de espionaje y persistencia
- Una amenaza sostenida y específica
- Patrones de ciberespionaje
El malware enmascarado como aplicación de seguridad
La empresa Dr. Web ha alertado sobre Android.Backdoor.916.origin, una variante maliciosa que se presenta como un antivirus en dispositivos Android, pero que en realidad funciona como una puerta trasera multifuncional enfocada en atacantes que apuntan a empresas rusas. Este incidente marca la segunda vez en un corto período que se descubre malware diseñado para infiltrarse en la infraestructura del país.
Este software malicioso se hace pasar por un antivirus conocido como GuardCB, utilizando tácticas de ingeniería social para aparentar ser legítimo, incluyendo un ícono que recuerda al emblema del Banco Central de Rusia. Variantes adicionales identificadas por Dr. Web bajo los nombres de SECURITY_FSB o ФСБ (FSB) persiguen el mismo objetivo de generar confianza a través de vínculos fraudulentos con entidades oficiales. La disponibilidad exclusiva de la interfaz en ruso refuerza la idea de que esta campaña está dirigida, sobre todo, a usuarios locales, especialmente del entorno empresarial.
La distribución del programa se lleva a cabo a través de mensajes directos en aplicaciones de mensajería. Al instalarse, el malware simula un análisis de seguridad que arroja resultados falsos para reforzar su credibilidad, al tiempo que ejecuta actividades maliciosas en el dispositivo.
Funciones de espionaje y persistencia
Android.Backdoor.916.origin requiere una serie significativa de permisos críticos, que incluyen acceso a la geolocalización, cámara, micrófono, SMS, contactos, historial de llamadas, archivos multimedia y funciones telefónicas. También demanda ejecución en segundo plano, privilegios de administrador y acceso al Servicio de Accesibilidad de Android, un componente fundamental que le habilita para implementar funciones de keylogger y activar sus mecanismos de autoprotección.
El abuso del Servicio de Accesibilidad permite al malware registrar pulsaciones del teclado e interceptar datos de aplicaciones populares como Telegram, Gmail, WhatsApp, Google Chrome, Yandex Start y Yandex Browser. Esta capacidad también le permite evitar su desinstalación, garantizando así su permanencia en el dispositivo. Una vez que adquiere los permisos requeridos, la puerta trasera inicia varios servicios en segundo plano que constantemente monitorea y reinicia, asegurando su persistencia.
A través de estos servicios, el malware establece una conexión con servidores de mando y control (C2), desde los cuales recibe instrucciones y envía la información que ha recopilado. La transmisión de datos se organiza utilizando puertos específicos según el tipo de información transmitida, lo que solidifica la eficacia del proceso.
Con un notable potencial para el espionaje y el robo de datos, el malware es capaz de exfiltrar SMS, contactos, registros de llamadas, imágenes y datos de ubicación. También puede realizar transmisiones en vivo de audio y video desde el dispositivo, así como capturar el contenido de la pantalla. Entre sus capacidades, se incluyen la ejecución de comandos remotos, recopilación de información de la red y la interacción continua con sus servidores de mando y control (C2). Asimismo, el malware tiene la habilidad de capturar texto ingresado, incluidas contraseñas y credenciales, además de interceptar información de aplicaciones de mensajería y navegadores.
Una amenaza sostenida y específica
Las versiones iniciales de Android.Backdoor.916.origin aparecieron en enero de 2025, y desde entonces se han documentado múltiples variantes que revelan una evolución constante del malware. Según los analistas de Dr. Web, esta herramienta constituye un recurso de espionaje utilizado en operaciones selectivas contra individuos vinculados a empresas rusas, en contraposición a una campaña de despliegue masivo.
Este descubrimiento se suma a un evento anterior, detectado en abril de 2025, en el que una aplicación de mapas falsificada llamada Alpine Quest se utilizó para espiar a las fuerzas armadas rusas. Ambas situaciones ponen de manifiesto un patrón sostenido de ciberespionaje que afecta a sectores estratégicos. La situación actual demuestra que las amenazas no solo evolucionan en términos técnicos, sino también mediante el uso cada vez más ingenioso de la ingeniería social.
Al aprovechar íconos y nombres que se asocian erróneamente con entidades oficiales, los atacantes son capaces de crear una fachada de legitimidad, llevando al usuario a bajar la guardia. Esto resalta, una vez más, que la efectividad de los ciberataques no depende únicamente del código malicioso en sí, sino también de la capacidad para manipular la confianza del usuario. Por lo tanto, es imperativo que las estrategias de defensa integren tanto medidas técnicas como un adecuado nivel de concienciación sobre los riesgos potenciales.
Patrones de ciberespionaje
Al combinar sofisticadas técnicas de ingeniería social con malware de alta penetración, estos ataques están transformando la realidad de la seguridad cibernética en las empresas, enfatizando la necesidad de un enfoque proactivo en la ciberseguridad.
Referencias
- Dr. Web – Alerta sobre Android.Backdoor.916.origin.
- CISA – Recomendaciones sobre seguridad cibernética.
- Kaspersky – Análisis de amenazas cibernéticas.