Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать контент из мессенджеров и браузеров, а также имеет функциональность кейлогера (клавиатурного шпиона) для перехвата вводимого текста, включая пароли.
Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за его эволюцией и выявила ряд версий. Эксперты компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.
Что касается распространения, то злоумышленники через личные сообщения в мессенджерах распространяют APK-файл под видом антивируса с названием GuardCB. Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. Также выявлены модификации с такими именами файлов как SECURITY_FSB, ФСБ, и так далее. В компании подчеркнули:
Никаких защитных функций в программе на самом деле нет. В процессе работы Android.Backdoor.916.origin имитирует антивирусное сканирование устройства, при этом вероятность «обнаружения» угроз в нем запрограммирована. Чем больше времени проходит с момента последнего «сканирования», тем она выше, но не более 30%. Количество якобы выявленных угроз определяется случайным образом и составляет от 1 до 3.