„FireScam Mobile“ kenkėjiška programa
Buvo atskleista naujai nustatyta „Android“ grėsmė, pavadinta „FireScam“. Tai užmaskuojama kaip patobulinta Telegram pranešimų siuntimo programos versija. Ši apgaulinga taktika įgalina grėsmingą programinę įrangą išgauti slaptus vartotojo duomenis ir palaikyti nuolatinę nuotolinę prieigą prie pažeistų įrenginių.
Turinys
Protinga maskuotė: netikra „Telegram Premium“ programa
„FireScam“ platinama prisidengiant suklastota „Telegram Premium“ programa. Jis plinta per sukčiavimo svetainę, esančią GitHub.io, kuri klaidingai pristatoma kaip „RuStore“ – gerai žinoma programų rinka Rusijoje. Saugumo analitikai šią mobiliojo ryšio grėsmę apibūdina kaip sudėtingą ir labai prisitaikančią. Įdiegus jis vyksta kelių etapų užkrėtimo procesu, pradedant nuo lašintuvo APK, kuris palengvina išsamią priežiūrą.
Apgaulinga svetainė rustore-apk.github.io imituoja „RuStore“ sąsają ir skirta apgauti vartotojus, kad jie atsisiųstų APK failą, pavadintą „GetAppsRu.apk“.
Lašintuvo vaidmuo „FireScam“ atakoje
Po montavimo lašintuvas tarnauja kaip pirminės naudingosios apkrovos tiekimo mechanizmas. Šis pagrindinis komponentas yra atsakingas už neskelbtinos informacijos, pvz., pranešimų, pranešimų ir programų duomenų, rinkimą ir perdavimą į „Firebase“ realiojo laiko duomenų bazę.
Norėdami sustiprinti kontrolę, lašintuvas prašo kelių leidimų, įskaitant prieigą prie išorinės saugyklos ir galimybę įdiegti, atnaujinti arba pašalinti programas „Android“ įrenginiuose, kuriuose veikia 8 ir naujesnė versija.
Ypač susirūpinimą keliantis „FireScam“ aspektas yra ENFORCE_UPDATE_OWNERSHIP leidimo išnaudojimas. Ši „Android“ funkcija leidžia programos pradiniam įdiegėjui tapti jos „naujinimo savininku“, o tai reiškia, kad tik paskirtasis savininkas gali inicijuoti naujinimus. Naudodama šį mechanizmą, „FireScam“ gali blokuoti teisėtus naujinimus iš kitų šaltinių, užtikrindama nuolatinį jos buvimą užkrėstame įrenginyje.
Išplėstinės vengimo ir stebėjimo funkcijos
„FireScam“ naudoja užmaskavimo metodus, kad būtų išvengta aptikimo ir analizės. Jis aktyviai stebi gaunamus pranešimus, ekrano būsenos pokyčius, vartotojo veiklą, iškarpinės turinį ir net internetines operacijas. Grėsmė taip pat gali atsisiųsti ir apdoroti vaizdus iš nuotolinio serverio, papildydama savo stebėjimo galimybes.
Kai paleidžiama, nesąžininga „Telegram Premium“ programa prašo leidimo pasiekti vartotojų kontaktus, skambučių žurnalus ir SMS žinutes. Tada jis pateikia prisijungimo puslapį, kuris atspindi oficialią „Telegram“ svetainę per „WebView“, bandydamas užfiksuoti vartotojo kredencialus. Tačiau duomenų rinkimo procesas suaktyvinamas net jei vartotojas neįveda savo prisijungimo duomenų.
Nuolatinės nuotolinės prieigos palaikymas
Viena iš klastingesnių „FireScam“ funkcijų yra galimybė užsiregistruoti „Firebase Cloud Messaging“ (FCM) pranešimams gauti. Tai leidžia grėsmei gauti nuotolines instrukcijas ir išlaikyti nuolatinę slaptą prieigą prie įrenginio. Be to, jis sukuria WebSocket ryšį su savo komandų ir valdymo (C2) serveriu, kad palengvintų duomenų vagystę ir atliktų kitus nesaugius veiksmus.
Kiti kenksmingi komponentai ir neatsakyti klausimai
Tyrėjai taip pat nustatė kitą žalingą artefaktą, priglobtą sukčiavimo domene, vadinamą „CDEK“. Šis pavadinimas greičiausiai nurodo Rusijos logistikos ir siuntų sekimo paslaugą, o tai rodo platesnę kenkėjišką veiklą, ne tik „FireScam“.
Lieka neaišku, kas už šią operaciją ir kaip vartotojai nukreipiami į šias sukčiavimo nuorodas. Galima taktika gali būti SMS sukčiavimo (sushing) arba netinkamos reklamos kampanijos. Imituodami teisėtas paslaugas, tokias kaip „RuStore“, šios apgaulingos svetainės manipuliuoja vartotojų pasitikėjimu, kad įtikintų asmenis atsisiųsti nesąžiningas programas.
„FireScam“ galimybė išfiltruoti duomenis ir vykdyti stebėjimą pabrėžia riziką, susijusią su sukčiavimu grindžiamais platinimo metodais. Šis atvejis pabrėžia nuolatinius iššūkius, susijusius su „Android“ naudotojų apsauga nuo grėsmių, kurios išnaudoja socialinę inžineriją ir pasitikėjimą gerai žinomomis platformomis.
