FireScam Mobile'i pahavara
Avastati äsja tuvastatud Androidi oht nimega FireScam. See maskeerib end Telegrami sõnumsiderakenduse täiustatud versiooniks. See petlik taktika võimaldab ähvardaval tarkvaral välja võtta tundlikke kasutajaandmeid ja säilitada püsiva kaugjuurdepääsu ohustatud seadmetele.
Sisukord
Nutikas maskeering: võlts telegrammi lisatasu rakendus
FireScam'i levitatakse võltsitud „Telegram Premium” rakenduse varjus. See levib saidil GitHub.io majutatud andmepüügiveebisaidi kaudu, mis esitleb end ekslikult kui RuStore – Venemaal tuntud rakenduste turg. Turvaanalüütikud kirjeldavad seda mobiiliohtu keeruka ja väga kohanemisvõimelisena. Pärast installimist järgib see mitmeastmelist nakatumisprotsessi, alustades tilguti APK-st, mis hõlbustab ulatuslikku järelevalvet.
Petturlik sait rustore-apk.github.io jäljendab RuStore'i liidest ja selle eesmärk on meelitada kasutajaid alla laadima tilguti APK-faili nimega „GetAppsRu.apk”.
Tilgutaja roll FireScami rünnakus
Pärast paigaldamist toimib tilguti esmase kasuliku koorma kohaletoimetamise mehhanismina. See põhikomponent vastutab tundliku teabe (nt sõnumid, teatised ja rakenduse andmed) kogumise ja edastamise eest Firebase'i reaalajas andmebaasi.
Kontrolli tugevdamiseks taotleb tilguti mitut luba, sealhulgas juurdepääsu välisele salvestusruumile ja võimalust installida, värskendada või eemaldada rakendusi Android-seadmetes, mis käitavad versiooni 8 ja uuemaid.
FireScami eriti murettekitav aspekt on selle ENFORCE_UPDATE_OWNERSHIP loa ärakasutamine. See Androidi funktsioon võimaldab rakenduse algsel installijal saada selle värskenduse omanikuks, mis tähendab, et värskendusi saab algatada ainult määratud omanik. Seda mehhanismi võimendades saab FireScam blokeerida teistest allikatest pärit seaduslikud värskendused, tagades selle jätkuva olemasolu nakatunud seadmes.
Täiustatud kõrvalehoidmise ja jälgimise funktsioonid
FireScam kasutab tuvastamise ja analüüsimise takistamiseks hägustamise tehnikaid. See jälgib aktiivselt sissetulevaid teatisi, ekraani oleku muutusi, kasutaja tegevust, lõikepuhvri sisu ja isegi veebitehinguid. Oht on võimeline ka kaugserverist pilte alla laadima ja töötlema, lisades oma jälgimisvõimalustele veel ühe kihi.
Käivitamisel küsib petturitest rakendus Telegram Premium luba juurdepääsuks kasutajate kontaktidele, kõnelogidele ja SMS-sõnumitele. Seejärel kuvab see sisselogimislehe, mis peegeldab ametlikku Telegrami veebisaiti WebView kaudu, püüdes jäädvustada kasutaja mandaate. Andmete kogumise protsess käivitub aga ka siis, kui kasutaja oma sisselogimisandmeid ei sisesta.
Püsiva kaugjuurdepääsu säilitamine
Üks FireScami salakavalamaid funktsioone on võimalus registreeruda Firebase'i pilvsõnumite (FCM) teavituste jaoks. See võimaldab ohul saada kaugjuhiseid ja säilitada pidevat varjatud juurdepääsu seadmele. Lisaks loob see WebSocketi ühenduse oma käsu- ja juhtimisserveriga (C2), et hõlbustada andmete vargust ja sooritada edasisi ohtlikke toiminguid.
Muud kahjulikud komponendid ja vastamata küsimused
Teadlased tuvastasid ka teise andmepüügidomeenis hostitud kahjuliku artefakti, mida nimetatakse CDEK-ks. See nimi viitab tõenäoliselt Venemaa logistika- ja pakkide jälgimise teenusele, mis viitab laiemale pahatahtlikule tegevusele peale FireScami.
Jääb ebaselgeks, kes on selle toimingu taga või kuidas kasutajad nendele andmepüügilinkidele suunatakse. Võimalik taktika võib hõlmata SMS-i andmepüügi või pahatahtliku reklaamimise kampaaniaid. Imiteerides seaduslikke teenuseid, nagu RuStore, manipuleerivad need petlikud veebisaidid kasutajate usaldust, et veenda inimesi petturlikke rakendusi alla laadima.
FireScami võime andmeid välja filtreerida ja järelevalvet teostada rõhutab andmepüügipõhiste levitamismeetoditega seotud riske. See juhtum toob esile jätkuvad väljakutsed Androidi kasutajate kaitsmisel ohtude eest, mis kasutavad ära sotsiaalset manipuleerimist ja usaldust tuntud platvormide vastu.
