Зловреден софтуер за мобилни устройства FireScam
Беше разкрита наскоро идентифицирана заплаха за Android, наречена FireScam. То се прикрива като подобрена версия на приложението за съобщения Telegram. Тази измамна тактика позволява на заплашителния софтуер да извлича чувствителни потребителски данни и да поддържа постоянен отдалечен достъп до компрометирани устройства.
Съдържание
Умела маскировка: Фалшиво приложение Telegram Premium
FireScam се разпространява под прикритието на фалшиво приложение „Telegram Premium“. Разпространява се чрез уебсайт за фишинг, хостван на GitHub.io, който фалшиво се представя като RuStore – добре познат пазар за приложения в Русия. Анализаторите по сигурността описват тази мобилна заплаха като сложна и много адаптивна. Веднъж инсталиран, той следва многоетапен процес на заразяване, започващ с капкомер APK, който улеснява обширното наблюдение.
Измамният сайт, rustore-apk.github.io, имитира интерфейса на RuStore и е предназначен да подмами потребителите да изтеглят капкомерен APK файл, наречен „GetAppsRu.apk“.
Ролята на Dropper в атаката на FireScam
След инсталирането капкомерът служи като механизъм за доставка на основния полезен товар. Този основен компонент е отговорен за събирането и предаването на чувствителна информация – като съобщения, известия и данни за приложения – към база данни в реално време на Firebase.
За да засили своя контрол, капкомерът изисква множество разрешения, които включват достъп до външно хранилище и възможност за инсталиране, актуализиране или премахване на приложения на устройства с Android, работещи с версия 8 и по-нова.
Особено тревожен аспект на FireScam е неговото използване на разрешението ENFORCE_UPDATE_OWNERSHIP. Тази функция на Android позволява на оригиналния инсталатор на приложението да стане негов „собственик на актуализацията“, което означава, че само определеният собственик може да инициира актуализации. Използвайки този механизъм, FireScam може да блокира легитимни актуализации от други източници, гарантирайки непрекъснатото си присъствие на заразеното устройство.
Разширени функции за укриване и наблюдение
FireScam използва техники за обфускация, за да устои на откриването и анализа. Той активно следи входящите известия, промените в състоянието на екрана, потребителската активност, съдържанието на клипборда и дори онлайн транзакциите. Заплахата също така може да изтегля и обработва изображения от отдалечен сървър, добавяйки още един слой към своите възможности за наблюдение.
Когато се стартира, измамното приложение Telegram Premium иска разрешение за достъп до контактите на потребителите, дневниците на обажданията и SMS съобщенията. След това представя страница за вход, която отразява официалния уебсайт на Telegram чрез WebView, опитвайки се да улови потребителски идентификационни данни. Процесът на събиране на данни обаче се задейства дори ако потребителят не въведе своите данни за вход.
Поддържане на постоянен отдалечен достъп
Една от по-коварните функции на FireScam е способността му да се регистрира за известия за Firebase Cloud Messaging (FCM). Това позволява на заплахата да получава отдалечени инструкции и да поддържа постоянен скрит достъп до устройството. Освен това той установява WebSocket връзка със своя командно-контролен (C2) сървър, за да улесни кражбата на данни и да изпълни допълнителни небезопасни действия.
Други вредни компоненти и въпроси без отговор
Изследователите също така идентифицираха друг вреден артефакт, хостван във фишинг домейна, наричан „CDEK“. Това име вероятно препраща към руска логистична и услуга за проследяване на пакети, което предполага по-широка злонамерена дейност извън FireScam.
Остава неясно кой стои зад тази операция или как потребителите се насочват към тези фишинг връзки. Потенциалните тактики могат да включват SMS фишинг (смишинг) или кампании за злонамерена реклама. Като имитират законни услуги като RuStore, тези измамни уебсайтове манипулират доверието на потребителите, за да убедят хората да изтеглят измамни приложения.
Способността на FireScam да ексфилтрира данни и да извършва наблюдение подчертава рисковете, свързани с методите за разпространение, управлявани от фишинг. Този случай подчертава текущите предизвикателства при защитата на потребителите на Android от заплахи, които използват социалното инженерство и доверието в добре познати платформи.
