Malware mobile FireScam
È stata scoperta una nuova minaccia Android denominata FireScam. Si camuffa da versione migliorata dell'app di messaggistica Telegram. Questa tattica ingannevole consente al software minaccioso di estrarre dati sensibili degli utenti e di mantenere un accesso remoto persistente ai dispositivi compromessi.
Sommario
Un travestimento intelligente: falsa applicazione Telegram Premium
FireScam viene distribuito sotto le mentite spoglie di un'applicazione contraffatta "Telegram Premium". Si diffonde tramite un sito Web di phishing ospitato su GitHub.io, che si presenta falsamente come RuStore, un noto mercato di app in Russia. Gli analisti della sicurezza descrivono questa minaccia mobile come complessa e altamente adattabile. Una volta installato, segue un processo di infezione in più fasi, che inizia con un APK dropper che facilita un'ampia sorveglianza.
Il sito fraudolento, rustore-apk.github.io, imita l'interfaccia di RuStore ed è progettato per indurre gli utenti a scaricare un file APK dropper denominato 'GetAppsRu.apk'.
Il ruolo del Dropper nell’attacco di FireScam
Dopo l'installazione, il dropper funge da meccanismo di consegna per il payload primario. Questo componente principale è responsabile della raccolta e della trasmissione di informazioni sensibili, come messaggi, notifiche e dati dell'applicazione, a un Firebase Realtime Database.
Per rafforzare il controllo, il dropper richiede più autorizzazioni, tra cui l'accesso alla memoria esterna e la possibilità di installare, aggiornare o rimuovere applicazioni sui dispositivi Android con versione 8 e successive.
Un aspetto particolarmente preoccupante di FireScam è lo sfruttamento del permesso ENFORCE_UPDATE_OWNERSHIP. Questa funzionalità di Android consente all'installatore originale di un'applicazione di diventarne il "proprietario dell'aggiornamento", il che significa che solo il proprietario designato può avviare gli aggiornamenti. Sfruttando questo meccanismo, FireScam può bloccare gli aggiornamenti legittimi da altre fonti, assicurando la sua presenza continua sul dispositivo infetto.
Funzionalità avanzate di evasione e sorveglianza
FireScam impiega tecniche di offuscamento per resistere al rilevamento e all'analisi. Monitora attivamente le notifiche in arrivo, i cambiamenti nello stato dello schermo, l'attività dell'utente, il contenuto degli appunti e persino le transazioni online. La minaccia è anche in grado di scaricare ed elaborare immagini da un server remoto, aggiungendo un altro livello alle sue capacità di sorveglianza.
Una volta avviata, l'app Telegram Premium rogue richiede l'autorizzazione per accedere ai contatti, ai registri delle chiamate e ai messaggi SMS degli utenti. Quindi presenta una pagina di accesso che rispecchia il sito Web ufficiale di Telegram tramite una WebView, tentando di acquisire le credenziali dell'utente. Tuttavia, il processo di raccolta dati viene attivato anche se l'utente non inserisce i propri dati di accesso.
Mantenimento dell’accesso remoto persistente
Una delle funzioni più insidiose di FireScam è la sua capacità di registrarsi per le notifiche di Firebase Cloud Messaging (FCM). Ciò consente alla minaccia di ricevere istruzioni remote e di mantenere un accesso nascosto continuo al dispositivo. Inoltre, stabilisce una connessione WebSocket con il suo server di comando e controllo (C2) per facilitare il furto di dati ed eseguire ulteriori azioni non sicure.
Altri componenti dannosi e domande senza risposta
I ricercatori hanno anche identificato un altro artefatto dannoso ospitato sul dominio di phishing, denominato "CDEK". Questo nome fa probabilmente riferimento a un servizio russo di logistica e tracciamento dei pacchi, il che suggerisce un'attività dannosa più ampia che va oltre FireScam.
Non è ancora chiaro chi si nasconda dietro questa operazione o come gli utenti vengano indirizzati a questi link di phishing. Le possibili tattiche potrebbero riguardare campagne di SMS phishing (smishing) o malvertising. Imitando servizi legittimi come RuStore, questi siti Web ingannevoli manipolano la fiducia degli utenti per convincere gli individui a scaricare applicazioni fraudolente.
La capacità di FireScam di esfiltrare dati e condurre sorveglianza sottolinea i rischi associati ai metodi di distribuzione basati sul phishing. Questo caso evidenzia le sfide in corso nella protezione degli utenti Android dalle minacce che sfruttano l'ingegneria sociale e la fiducia in piattaforme note.
