Programari maliciós mòbil FireScam
S'ha descobert una amenaça d'Android recentment identificada anomenada FireScam. Es disfressa com una versió millorada de l'aplicació de missatgeria de Telegram. Aquesta tàctica enganyosa permet al programari amenaçador extreure dades sensibles dels usuaris i mantenir l'accés remot persistent als dispositius compromesos.
Taula de continguts
Una disfressa intel·ligent: aplicació Premium de Telegram falsa
FireScam es distribueix sota l'aparença d'una aplicació falsa "Telegram Premium". Es difon a través d'un lloc web de pesca allotjat a GitHub.io, que es presenta falsament com a RuStore, un mercat d'aplicacions conegut a Rússia. Els analistes de seguretat descriuen aquesta amenaça mòbil com a complexa i altament adaptable. Un cop instal·lat, segueix un procés d'infecció en diverses etapes, començant amb un APK de comptagotes que facilita una vigilància àmplia.
El lloc fraudulent, rustore-apk.github.io, imita la interfície de RuStore i està dissenyat per enganyar els usuaris perquè baixin un fitxer APK de comptagotes anomenat "GetAppsRu.apk".
El paper del Dropper en l’atac de FireScam
Després de la instal·lació, el comptagotes serveix com a mecanisme de lliurament de la càrrega útil principal. Aquest component bàsic és responsable de recopilar i transmetre informació sensible, com ara missatges, notificacions i dades d'aplicacions, a una base de dades en temps real de Firebase.
Per reforçar el seu control, el comptagotes sol·licita diversos permisos, que inclouen l'accés a l'emmagatzematge extern i la possibilitat d'instal·lar, actualitzar o eliminar aplicacions en dispositius Android amb la versió 8 i posterior.
Un aspecte especialment preocupant de FireScam és l'explotació del permís ENFORCE_UPDATE_OWNERSHIP. Aquesta funció d'Android permet que l'instal·lador original d'una aplicació es converteixi en el seu "propietari de l'actualització", és a dir, només el propietari designat pot iniciar les actualitzacions. Aprofitant aquest mecanisme, FireScam pot bloquejar actualitzacions legítimes d'altres fonts, garantint la seva presència continuada al dispositiu infectat.
Funcions avançades d’evasió i vigilància
FireScam utilitza tècniques d'ofuscació per resistir la detecció i l'anàlisi. Supervisa activament les notificacions entrants, els canvis en l'estat de la pantalla, l'activitat dels usuaris, el contingut del porta-retalls i fins i tot les transaccions en línia. L'amenaça també és capaç de descarregar i processar imatges des d'un servidor remot, afegint una altra capa a les seves capacitats de vigilància.
Quan es llança, l'aplicació de Telegram Premium demana permís per accedir als contactes, registres de trucades i missatges SMS dels usuaris. A continuació, presenta una pàgina d'inici de sessió que reflecteix el lloc web oficial de Telegram mitjançant un WebView, intentant capturar les credencials de l'usuari. Tanmateix, el procés de recollida de dades s'activa encara que l'usuari no introdueixi les seves dades d'inici de sessió.
Mantenir l’accés remot persistent
Una de les funcions més insidioses de FireScam és la seva capacitat per registrar-se per a les notificacions de Firebase Cloud Messaging (FCM). Això permet que l'amenaça rebi instruccions remotes i mantingui un accés encobert continu al dispositiu. A més, estableix una connexió WebSocket amb el seu servidor d'ordres i control (C2) per facilitar el robatori de dades i executar més accions insegures.
Altres components nocius i preguntes sense resposta
Els investigadors també van identificar un altre artefacte nociu allotjat al domini de pesca, anomenat "CDEK". Aquest nom probablement fa referència a un servei de seguiment de paquets i logística rus, cosa que suggereix una activitat maliciosa més àmplia més enllà de FireScam.
Encara no està clar qui està darrere d'aquesta operació ni com es dirigeix als usuaris a aquests enllaços de pesca. Les tàctiques potencials podrien incloure campanyes de pesca d'SMS (smishing) o malvertising. En imitar serveis legítims com RuStore, aquests llocs web enganyosos manipulen la confiança dels usuaris per convèncer els individus perquè baixin aplicacions fraudulentes.
La capacitat de FireScam d'exfiltrar dades i realitzar vigilància subratlla els riscos associats als mètodes de distribució basats en la pesca. Aquest cas posa de manifest els reptes actuals per protegir els usuaris d'Android de les amenaces que exploten l'enginyeria social i la confiança en plataformes conegudes.
