תוכנה זדונית ניידת FireScam
איום אנדרואיד שזוהה לאחרונה בשם FireScam נחשף. הוא מתחפש לגרסה משופרת של אפליקציית ההודעות של טלגרם. טקטיקה מטעה זו מאפשרת לתוכנה המאיימת לחלץ נתוני משתמש רגישים ולקיים גישה מרחוק מתמשכת למכשירים שנפגעו.
תוכן העניינים
תחפושת חכמה: אפליקציית טלגרם פרימיום מזויפת
FireScam מופץ במסווה של אפליקציית 'טלגרם פרימיום' מזויפת. זה מתפשט דרך אתר דיוג שמתארח ב-GitHub.io, שמציג את עצמו בטעות כ-RuStore - שוק אפליקציות ידוע ברוסיה. מנתחי אבטחה מתארים את האיום הנייד הזה כמורכב ובעל התאמה גבוהה. לאחר ההתקנה, הוא עוקב אחר תהליך הדבקה רב-שלבי, המתחיל ב-APK של טפטפת המאפשר מעקב נרחב.
אתר ההונאה, rustore-apk.github.io, מחקה את הממשק של RuStore ונועד להערים על משתמשים להוריד קובץ APK של Dropper בשם 'GetAppsRu.apk'.
תפקידו של הטפטף במתקפה של FireScam
לאחר ההתקנה, הטפטפת משמשת כמנגנון מסירה למטען העיקרי. רכיב ליבה זה אחראי על איסוף והעברת מידע רגיש - כגון הודעות, התראות ונתוני יישומים - למסד נתונים בזמן אמת של Firebase.
כדי לחזק את השליטה בו, הטפטף מבקש הרשאות מרובות, הכוללות גישה לאחסון חיצוני ויכולת להתקין, לעדכן או להסיר אפליקציות במכשירי אנדרואיד עם גרסה 8 ואילך.
היבט מדאיג במיוחד של FireScam הוא הניצול שלה בהרשאת ENFORCE_UPDATE_OWNERSHIP. תכונת אנדרואיד זו מאפשרת למתקין המקורי של אפליקציה להפוך ל'בעל העדכון' שלו, כלומר רק הבעלים המיועד יכול ליזום עדכונים. על ידי מינוף מנגנון זה, FireScam יכולה לחסום עדכונים לגיטימיים ממקורות אחרים, ולהבטיח את המשך נוכחותה במכשיר הנגוע.
תכונות התחמקות ומעקב מתקדמות
FireScam משתמש בטכניקות ערפול כדי להתנגד לגילוי וניתוח. הוא עוקב באופן פעיל אחר התראות נכנסות, שינויים במצב המסך, פעילות המשתמש, תוכן הלוח ואפילו עסקאות מקוונות. האיום מסוגל גם להוריד ולעבד תמונות משרת מרוחק, ולהוסיף שכבה נוספת ליכולות המעקב שלו.
כאשר הושקה, אפליקציית Telegram Premium הנוכלת מבקשת הרשאה לגשת לאנשי הקשר, יומני השיחות והודעות ה-SMS של המשתמשים. לאחר מכן הוא מציג דף התחברות המשקף את אתר האינטרנט הרשמי של טלגרם באמצעות WebView, תוך ניסיון ללכוד את אישורי המשתמש. עם זאת, תהליך איסוף הנתונים מופעל גם אם המשתמש לא מזין את פרטי הכניסה שלו.
שמירה על גישה מרחוק מתמשכת
אחת הפונקציות היותר ערמומיות של FireScam היא היכולת שלה להירשם לקבלת התראות Firebase Cloud Messaging (FCM). זה מאפשר לאיום לקבל הוראות מרחוק ולשמור על גישה סמויה מתמשכת למכשיר. בנוסף, הוא יוצר חיבור WebSocket עם שרת הפקודה והשליטה (C2) שלו כדי להקל על גניבת נתונים וביצוע פעולות לא בטוחות נוספות.
רכיבים מזיקים אחרים ושאלות ללא מענה
החוקרים זיהו גם חפץ מזיק נוסף המתארח בתחום הדיוג, המכונה 'CDEK'. סביר להניח ששם זה מתייחס לשירות לוגיסטיקה ומעקב אחר חבילות רוסי, המצביע על פעילות זדונית רחבה יותר מעבר ל-FireScam בלבד.
עדיין לא ברור מי עומד מאחורי הפעולה הזו או איך משתמשים מופנים לקישורי התחזות האלה. טקטיקות פוטנציאליות עשויות לכלול קמפיינים של פישינג ב-SMS (Smishing) או מסעות פרסום. על ידי חיקוי שירותים לגיטימיים כמו RuStore, אתרי האינטרנט המטעים הללו משנים את אמון המשתמשים כדי לשכנע אנשים להוריד אפליקציות הונאה.
היכולת של FireScam לסנן נתונים ולערוך מעקבים מדגישה את הסיכונים הכרוכים בשיטות הפצה מונעות דיוג. מקרה זה מדגיש את האתגרים המתמשכים בהגנה על משתמשי אנדרואיד מפני איומים המנצלים הנדסה חברתית ואמון בפלטפורמות ידועות.
