FireScam Mobile Malware
Nově identifikovaná hrozba pro Android s názvem FireScam byla odhalena. Maskuje se jako vylepšená verze aplikace pro zasílání zpráv Telegram. Tato klamná taktika umožňuje ohrožujícímu softwaru extrahovat citlivá uživatelská data a udržovat trvalý vzdálený přístup k ohroženým zařízením.
Obsah
Chytrý převlek: falešná telegramová prémiová aplikace
FireScam je distribuován pod rouškou padělané aplikace „Telegram Premium“. Šíří se prostřednictvím phishingového webu hostovaného na GitHub.io, který se nepravdivě prezentuje jako RuStore – známý trh s aplikacemi v Rusku. Bezpečnostní analytici popisují tuto mobilní hrozbu jako komplexní a vysoce adaptabilní. Po instalaci následuje vícestupňový proces infekce, který začíná kapátkem APK, který usnadňuje rozsáhlý dohled.
Podvodná stránka rustore-apk.github.io napodobuje rozhraní RuStore a je navržena tak, aby přiměla uživatele ke stažení kapátkového APK souboru s názvem „GetAppsRu.apk“.
Role kapátka v útoku FireScam
Po instalaci slouží kapátko jako doručovací mechanismus pro primární užitečné zatížení. Tato základní komponenta je zodpovědná za shromažďování a přenos citlivých informací – jako jsou zprávy, oznámení a data aplikací – do databáze Firebase Realtime Database.
K posílení kontroly vyžaduje kapátko několik oprávnění, která zahrnují přístup k externímu úložišti a možnost instalovat, aktualizovat nebo odstraňovat aplikace na zařízeních Android s verzí 8 a novější.
Zvláště znepokojivým aspektem FireScam je jeho využívání oprávnění ENFORCE_UPDATE_OWNERSHIP. Tato funkce systému Android umožňuje původnímu instalačnímu programu aplikace, aby se stal jejím „vlastníkem aktualizace“, což znamená, že aktualizace může iniciovat pouze určený vlastník. Využitím tohoto mechanismu může FireScam blokovat legitimní aktualizace z jiných zdrojů a zajistit tak jeho trvalou přítomnost na infikovaném zařízení.
Pokročilé funkce úniku a sledování
FireScam využívá techniky zmatku, aby odolal detekci a analýze. Aktivně sleduje příchozí oznámení, změny stavu obrazovky, aktivitu uživatelů, obsah schránky a dokonce i online transakce. Hrozba je také schopna stahovat a zpracovávat obrázky ze vzdáleného serveru, čímž přidává další vrstvu k možnostem dohledu.
Po spuštění si nepoctivá aplikace Telegram Premium vyžádá oprávnění pro přístup ke kontaktům uživatelů, protokolům hovorů a SMS zprávám. Poté představuje přihlašovací stránku, která zrcadlí oficiální web Telegramu prostřednictvím WebView a pokouší se zachytit přihlašovací údaje uživatele. Proces sběru dat je však spuštěn i v případě, že uživatel nezadá své přihlašovací údaje.
Udržování trvalého vzdáleného přístupu
Jednou ze záludnějších funkcí FireScam je jeho schopnost zaregistrovat se pro oznámení Firebase Cloud Messaging (FCM). To umožňuje hrozbě přijímat vzdálené pokyny a udržovat trvalý skrytý přístup k zařízení. Navíc naváže spojení WebSocket se svým serverem pro příkazy a řízení (C2), aby se usnadnilo odcizení dat a provedly se další nebezpečné akce.
Další škodlivé složky a nezodpovězené otázky
Výzkumníci také identifikovali další škodlivý artefakt hostovaný na phishingové doméně, označovaný jako „CDEK“. Tento název pravděpodobně odkazuje na ruskou logistickou službu a službu sledování zásilek, což naznačuje širší zákeřnou aktivitu nad rámec samotného FireScam.
Zůstává nejasné, kdo za touto operací stojí nebo jak jsou uživatelé přesměrováni na tyto phishingové odkazy. Potenciální taktika by mohla zahrnovat SMS phishing (smishing) nebo malvertisingové kampaně. Napodobováním legitimních služeb, jako je RuStore, tyto klamavé webové stránky manipulují s důvěrou uživatelů, aby přesvědčily jednotlivce ke stažení podvodných aplikací.
Schopnost FireScam exfiltrovat data a provádět dohled podtrhuje rizika spojená s distribučními metodami řízenými phishingem. Tento případ poukazuje na pokračující výzvy v ochraně uživatelů Androidu před hrozbami, které využívají sociální inženýrství a důvěru ve známé platformy.
