FireScam mobilni zlonamjerni softver
Otkrivena je novootkrivena Android prijetnja nazvana FireScam. Prerušava se kao poboljšana verzija aplikacije za razmjenu poruka Telegram. Ova prijevarna taktika omogućuje prijetećem softveru izdvajanje osjetljivih korisničkih podataka i održavanje trajnog udaljenog pristupa ugroženim uređajima.
Sadržaj
Pametna maska: Lažna Telegram Premium aplikacija
FireScam se distribuira pod krinkom krivotvorene aplikacije 'Telegram Premium'. Širi se putem web stranice za krađu identiteta koja se nalazi na GitHub.io, a koja se lažno predstavlja kao RuStore—poznato tržište aplikacija u Rusiji. Sigurnosni analitičari ovu mobilnu prijetnju opisuju kao složenu i vrlo prilagodljivu. Nakon instaliranja, slijedi proces infekcije u više faza, počevši s APK-om s kapaljkom koji omogućuje opsežan nadzor.
Lažna stranica, rustore-apk.github.io, oponaša sučelje RuStorea i dizajnirana je da prevari korisnike da preuzmu dropper APK datoteku pod nazivom 'GetAppsRu.apk.'
Dropperova uloga u napadu FireScam-a
Nakon instalacije, kapaljka služi kao mehanizam za isporuku primarnog korisnog tereta. Ova ključna komponenta odgovorna je za prikupljanje i prijenos osjetljivih informacija—kao što su poruke, obavijesti i podaci aplikacije—u Firebase bazu podataka u stvarnom vremenu.
Kako bi ojačao svoju kontrolu, dropper zahtijeva višestruka dopuštenja, koja uključuju pristup vanjskoj pohrani i mogućnost instaliranja, ažuriranja ili uklanjanja aplikacija na Android uređajima s verzijom 8 i novijim.
Posebno zabrinjavajući aspekt FireScama je njegovo iskorištavanje dopuštenja ENFORCE_UPDATE_OWNERSHIP. Ova Android značajka omogućuje izvornom instalacijskom programu aplikacije da postane njezin 'vlasnik ažuriranja', što znači da samo imenovani vlasnik može pokrenuti ažuriranja. Korištenjem ovog mehanizma, FireScam može blokirati legitimna ažuriranja iz drugih izvora, osiguravajući svoju kontinuiranu prisutnost na zaraženom uređaju.
Napredne značajke izbjegavanja i nadzora
FireScam koristi tehnike maskiranja kako bi spriječio otkrivanje i analizu. Aktivno prati dolazne obavijesti, promjene u stanju zaslona, aktivnost korisnika, sadržaj međuspremnika, pa čak i online transakcije. Prijetnja također može preuzeti i obraditi slike s udaljenog poslužitelja, dodajući još jedan sloj svojim mogućnostima nadzora.
Kada se pokrene, lažna aplikacija Telegram Premium traži dopuštenje za pristup korisničkim kontaktima, zapisima poziva i SMS porukama. Zatim predstavlja stranicu za prijavu koja odražava službenu web stranicu Telegrama putem WebViewa, pokušavajući uhvatiti korisničke vjerodajnice. Međutim, postupak prikupljanja podataka pokreće se čak i ako korisnik ne unese svoje podatke za prijavu.
Održavanje trajnog udaljenog pristupa
Jedna od podmuklijih funkcija FireScam-a je njegova sposobnost registracije za obavijesti Firebase Cloud Messaging (FCM). To prijetnji omogućuje primanje daljinskih uputa i održavanje trajnog tajnog pristupa uređaju. Uz to, uspostavlja WebSocket vezu sa svojim poslužiteljem za naredbe i kontrolu (C2) kako bi se olakšala krađa podataka i izvršile daljnje nesigurne radnje.
Druge štetne komponente i neodgovorena pitanja
Istraživači su također identificirali još jedan štetan artefakt koji se nalazi na domeni za krađu identiteta, koja se naziva 'CDEK'. Ovo ime vjerojatno upućuje na rusku logističku uslugu i uslugu praćenja paketa, što sugerira širu zlonamjernu aktivnost izvan samog FireScam-a.
Ostaje nejasno tko stoji iza ove operacije ili kako se korisnici usmjeravaju na te phishing veze. Potencijalne taktike mogle bi uključivati SMS krađu identiteta (smishing) ili kampanje zlonamjernog oglašavanja. Oponašanjem legitimnih usluga kao što je RuStore, ove lažne web stranice manipuliraju povjerenjem korisnika kako bi uvjerile pojedince da preuzmu lažne aplikacije.
Sposobnost FireScam-a da eksfiltrira podatke i provodi nadzor naglašava rizike povezane s distribucijskim metodama phishinga. Ovaj slučaj naglašava stalne izazove u zaštiti korisnika Androida od prijetnji koje iskorištavaju društveni inženjering i povjerenje u dobro poznate platforme.
