FireScam Mobile Malware
Felfedezték a FireScam nevű újonnan azonosított Android fenyegetést. A Telegram üzenetküldő alkalmazás továbbfejlesztett változatának álcázza magát. Ez a megtévesztő taktika lehetővé teszi a fenyegető szoftver számára, hogy érzékeny felhasználói adatokat nyerjen ki, és folyamatos távoli hozzáférést biztosítson a feltört eszközökhöz.
Tartalomjegyzék
Okos álcázás: hamis távirat prémium alkalmazás
A FireScam egy hamisított „Telegram Premium” alkalmazás leple alatt kerül terjesztésre. A GitHub.io-n tárolt adathalász webhelyen keresztül terjed, amely hamisan RuStore néven mutatja be magát – egy jól ismert alkalmazáspiac Oroszországban. A biztonsági elemzők ezt a mobil fenyegetést összetettnek és rendkívül alkalmazkodónak minősítik. Telepítés után többlépcsős fertőzési folyamatot követ, amely egy dropper APK-val kezdődik, amely megkönnyíti a kiterjedt felügyeletet.
A rustore-apk.github.io nevű csaló webhely a RuStore felületét utánozza, és célja, hogy rávegye a felhasználókat a „GetAppsRu.apk” nevű dropper APK-fájl letöltésére.
A cseppentő szerepe a FireScam támadásában
A beszerelés után a csepegtető az elsődleges hasznos teher szállítási mechanizmusaként szolgál. Ez az alapvető összetevő felelős az érzékeny információk – például üzenetek, értesítések és alkalmazásadatok – összegyűjtéséért és továbbításáért a Firebase valós idejű adatbázisba.
Az irányítás megerősítése érdekében a dropper több engedélyt kér, beleértve a külső tárolóhoz való hozzáférést, valamint az alkalmazások telepítésének, frissítésének vagy eltávolításának lehetőségét a 8-as vagy újabb verziót futtató Android-eszközökön.
A FireScam különösen aggasztó szempontja az ENFORCE_UPDATE_OWNERSHIP engedély kihasználása. Ez az Android-funkció lehetővé teszi, hogy az alkalmazás eredeti telepítője legyen a „frissítés tulajdonosa”, vagyis csak a kijelölt tulajdonos kezdeményezheti a frissítéseket. Ennek a mechanizmusnak a kihasználásával a FireScam blokkolhatja a jogszerű frissítéseket más forrásokból, biztosítva ezzel a folyamatos jelenlétét a fertőzött eszközön.
Fejlett kijátszási és megfigyelési funkciók
A FireScam obfuszkációs technikákat alkalmaz az észlelés és elemzés ellen. Aktívan figyeli a bejövő értesítéseket, a képernyő állapotának változásait, a felhasználói aktivitást, a vágólap tartalmát és még az online tranzakciókat is. A fenyegetés képes letölteni és feldolgozni képeket egy távoli szerverről, újabb réteggel bővítve felügyeleti képességeit.
Amikor elindul, a szélhámos Telegram Premium alkalmazás engedélyt kér a felhasználók névjegyeinek, hívásnaplóinak és SMS-üzeneteinek eléréséhez. Ezután bemutat egy bejelentkezési oldalt, amely a hivatalos Telegram webhelyet tükrözi WebView-n keresztül, és megpróbálja rögzíteni a felhasználói hitelesítő adatokat. Az adatgyűjtési folyamat azonban akkor is elindul, ha a felhasználó nem adja meg bejelentkezési adatait.
Folyamatos távoli hozzáférés fenntartása
A FireScam egyik alattomosabb funkciója, hogy képes regisztrálni a Firebase Cloud Messaging (FCM) értesítéseire. Ez lehetővé teszi a fenyegetés számára, hogy távoli utasításokat kapjon, és folyamatos titkos hozzáférést biztosítson az eszközhöz. Ezenkívül WebSocket kapcsolatot hoz létre a parancs- és vezérlő (C2) szerverével, hogy megkönnyítse az adatlopást és további nem biztonságos műveleteket hajtson végre.
Egyéb káros összetevők és megválaszolatlan kérdések
A kutatók egy másik káros műterméket is azonosítottak, amelyet az adathalász domainben tároltak, ez a „CDEK”. Ez a név valószínűleg egy orosz logisztikai és csomagkövető szolgáltatásra utal, ami a FireScam-en túlmenően szélesebb körű rosszindulatú tevékenységre utal.
Továbbra sem világos, hogy ki áll e művelet mögött, és hogyan irányítják a felhasználókat ezekre az adathalász linkekre. A lehetséges taktikák magukban foglalhatják az SMS-es adathalászatot (smishing) vagy a rosszindulatú reklámkampányokat. A törvényes szolgáltatásokat, például a RuStore-t utánozva ezek a megtévesztő webhelyek manipulálják a felhasználók bizalmát, hogy meggyőzzék az egyéneket a csalárd alkalmazások letöltéséről.
A FireScam azon képessége, hogy kiszivárogjon adatokat és felügyeletet végezzen, rávilágít az adathalászat-vezérelt terjesztési módszerekkel kapcsolatos kockázatokra. Ez az eset rávilágít azokra a folyamatos kihívásokra, amelyek az Android-felhasználók védelmében a társadalmi manipulációt és a jól ismert platformokba vetett bizalmat kihasználó fenyegetésekkel szemben támasztják alá.
