Entre otras cosas, puede escuchar conversaciones, transmitir desde la cámara, robar contenido de mensajeros y navegadores, y también tiene la funcionalidad de un keylogger (espía de teclado) para interceptar el texto introducido, incluidas las contraseñas.
Las primeras versiones del backdoor Android.Backdoor.916.origin aparecieron en enero de 2025. Desde su detección, el laboratorio antivirus "Doctor Web" ha estado observando su evolución e identificó varias versiones. Los expertos de la compañía creen que Android.Backdoor.916.origin está diseñado más para su uso en ataques dirigidos que para la distribución masiva entre los propietarios de dispositivos Android. Su principal objetivo son los representantes de empresas rusas.
En cuanto a la distribución, los atacantes distribuyen el archivo APK a través de mensajes personales en mensajeros bajo la apariencia de un antivirus con el nombre GuardCB. La aplicación tiene un icono que se asemeja al emblema del Banco Central de la Federación Rusa sobre un fondo de escudo. Al mismo tiempo, en su interfaz solo se proporciona un idioma: ruso. También se han identificado modificaciones con nombres de archivos como SECURITY_FSB, ФСБ, y así sucesivamente. La compañía enfatizó:
En realidad, el programa no tiene ninguna función de protección. En el proceso de trabajo, Android.Backdoor.916.origin simula el escaneo antivirus del dispositivo, mientras que la probabilidad de "detección" de amenazas está programada en él. Cuanto más tiempo pasa desde el último "escaneo", mayor es, pero no más del 30%. El número de supuestas amenazas identificadas se determina aleatoriamente y oscila entre 1 y 3.