بدافزار FireScam Mobile

یک تهدید جدید اندرویدی به نام FireScam کشف شده است. این خود را به عنوان یک نسخه پیشرفته از برنامه پیام رسانی تلگرام پنهان می کند. این تاکتیک فریبنده، نرم‌افزار تهدیدکننده را قادر می‌سازد تا داده‌های حساس کاربر را استخراج کند و دسترسی دائمی از راه دور به دستگاه‌های در معرض خطر را حفظ کند.

A Clever Disguise: Fake Telegram Premium Application

FireScam تحت عنوان یک برنامه تقلبی 'Telegram Premium' توزیع می شود. این از طریق یک وب سایت فیشینگ میزبانی شده در GitHub.io، که به دروغ خود را به عنوان RuStore معرفی می کند - یک بازار برنامه شناخته شده در روسیه پخش می شود. تحلیلگران امنیتی این تهدید تلفن همراه را پیچیده و بسیار سازگار توصیف می کنند. پس از نصب، یک فرآیند عفونت چند مرحله‌ای را دنبال می‌کند، که با یک APK قطره چکانی شروع می‌شود که نظارت گسترده را تسهیل می‌کند.

سایت تقلبی، rustore-apk.github.io، رابط RuStore را تقلید می کند و برای فریب کاربران برای دانلود یک فایل APK قطره چکانی به نام "GetAppsRu.apk" طراحی شده است.

نقش قطره چکان در حمله FireScam

پس از نصب، قطره چکان به عنوان مکانیزم تحویل بار اولیه عمل می کند. این جزء اصلی مسئول جمع آوری و انتقال اطلاعات حساس - مانند پیام ها، اعلان ها و داده های برنامه - به یک پایگاه داده بیدرنگ Firebase است.

قطره چکان برای تقویت کنترل خود مجوزهای متعددی را درخواست می کند که شامل دسترسی به حافظه خارجی و امکان نصب، به روز رسانی یا حذف برنامه ها در دستگاه های اندرویدی دارای نسخه 8 و جدیدتر است.

یکی از جنبه‌های نگران‌کننده FireScam، بهره‌برداری آن از مجوز ENFORCE_UPDATE_OWNERSHIP است. این ویژگی اندروید به نصب‌کننده اصلی برنامه اجازه می‌دهد تا «مالک به‌روزرسانی» آن شود، به این معنی که فقط مالک تعیین‌شده می‌تواند به‌روزرسانی‌ها را آغاز کند. با استفاده از این مکانیسم، FireScam می‌تواند به‌روزرسانی‌های قانونی را از منابع دیگر مسدود کند و از حضور مداوم آن در دستگاه آلوده اطمینان حاصل کند.

ویژگی های پیشرفته فرار و نظارت

FireScam از تکنیک های مبهم سازی برای مقاومت در برابر تشخیص و تجزیه و تحلیل استفاده می کند. به طور فعال اعلان های دریافتی، تغییرات در وضعیت صفحه نمایش، فعالیت کاربر، محتوای کلیپ بورد و حتی تراکنش های آنلاین را کنترل می کند. این تهدید همچنین قادر به دانلود و پردازش تصاویر از یک سرور راه دور است و لایه دیگری به قابلیت های نظارتی خود اضافه می کند.

هنگامی که برنامه سرکش Telegram Premium راه اندازی شد، اجازه دسترسی به مخاطبین، گزارش تماس ها و پیام های اس ام اس کاربران را درخواست می کند. سپس یک صفحه ورود به سیستم را ارائه می دهد که وب سایت رسمی تلگرام را از طریق WebView منعکس می کند و سعی می کند اعتبار کاربر را بگیرد. با این حال، حتی اگر کاربر جزئیات ورود خود را وارد نکند، فرآیند جمع آوری داده ها آغاز می شود.

حفظ دسترسی از راه دور دائمی

یکی از توابع موذیانه FireScam توانایی آن برای ثبت نام برای اعلان‌های Firebase Cloud Messaging (FCM) است. این به تهدید اجازه می‌دهد دستورالعمل‌های راه دور را دریافت کند و دسترسی پنهانی مداوم به دستگاه را حفظ کند. علاوه بر این، یک اتصال WebSocket با سرور فرمان و کنترل (C2) خود برای تسهیل سرقت داده ها و اجرای اقدامات ناامن بیشتر ایجاد می کند.

سایر اجزای مضر و سوالات بی پاسخ

محققان همچنین مصنوع مضر دیگری را شناسایی کردند که در دامنه فیشینگ میزبانی شده است، به نام CDEK. این نام احتمالاً به یک سرویس تدارکات و ردیابی بسته روسی اشاره دارد که نشان دهنده فعالیت مخرب گسترده تری فراتر از FireScam به تنهایی است.

هنوز مشخص نیست که چه کسی پشت این عملیات است یا کاربران چگونه به این پیوندهای فیشینگ هدایت می شوند. تاکتیک‌های بالقوه می‌تواند شامل فیشینگ پیامکی (smishing) یا تبلیغات نادرست باشد. با تقلید از سرویس‌های قانونی مانند RuStore، این وب‌سایت‌های فریبنده اعتماد کاربران را دستکاری می‌کنند تا افراد را متقاعد به دانلود برنامه‌های تقلبی کنند.

توانایی FireScam برای استخراج داده ها و انجام نظارت بر خطرات مرتبط با روش های توزیع مبتنی بر فیشینگ تأکید می کند. این مورد چالش‌های جاری را در محافظت از کاربران اندروید در برابر تهدیداتی که از مهندسی اجتماعی و اعتماد به پلتفرم‌های شناخته شده سوء استفاده می‌کنند، نشان می‌دهد.