FireScam Mobile ļaunprātīga programmatūra
Ir atklāts nesen identificēts Android drauds FireScam. Tas maskējas kā uzlabota Telegram ziņojumapmaiņas lietotnes versija. Šī maldinošā taktika ļauj draudīgajai programmatūrai iegūt sensitīvus lietotāja datus un uzturēt pastāvīgu attālo piekļuvi apdraudētām ierīcēm.
Satura rādītājs
Gudra maskēšanās: viltota telegrammas Premium lietojumprogramma
FireScam tiek izplatīts viltotas lietojumprogrammas “Telegram Premium” aizsegā. Tas izplatās, izmantojot pikšķerēšanas vietni, kas tiek mitināta vietnē GitHub.io, kas maldīgi tiek parādīta kā RuStore — Krievijā labi zināms lietotņu tirgus. Drošības analītiķi šo mobilo sakaru apdraudējumu raksturo kā sarežģītu un ļoti pielāgojamu. Kad tas ir instalēts, tas seko daudzpakāpju infekcijas procesam, sākot ar pilinātāja APK, kas atvieglo plašu uzraudzību.
Krāpnieciskā vietne rustore-apk.github.io atdarina RuStore saskarni un ir izstrādāta, lai krāptu lietotājus, lai viņi lejupielādētu pilinātāja APK failu ar nosaukumu “GetAppsRu.apk”.
Pilinātāja loma FireScam uzbrukumā
Pēc uzstādīšanas pilinātājs kalpo kā primārās kravnesības piegādes mehānisms. Šis galvenais komponents ir atbildīgs par sensitīvas informācijas, piemēram, ziņojumu, paziņojumu un lietojumprogrammu datu, apkopošanu un pārsūtīšanu uz Firebase reāllaika datu bāzi.
Lai pastiprinātu kontroli, pilinātājs pieprasa vairākas atļaujas, kas ietver piekļuvi ārējai krātuvei un iespēju instalēt, atjaunināt vai noņemt lietojumprogrammas Android ierīcēs, kurās darbojas 8. un jaunāka versija.
Īpaši satraucošs FireScam aspekts ir tā ENFORCE_UPDATE_OWNERSHIP atļaujas izmantošana. Šī Android funkcija ļauj lietojumprogrammas sākotnējam instalētājam kļūt par tās “atjaunināšanas īpašnieku”, kas nozīmē, ka tikai izraudzītais īpašnieks var sākt atjauninājumus. Izmantojot šo mehānismu, FireScam var bloķēt likumīgus atjauninājumus no citiem avotiem, nodrošinot tā pastāvīgu klātbūtni inficētajā ierīcē.
Uzlabotas izvairīšanās un novērošanas funkcijas
FireScam izmanto apmulsināšanas metodes, lai pretotos atklāšanai un analīzei. Tas aktīvi uzrauga ienākošos paziņojumus, izmaiņas ekrāna stāvoklī, lietotāju aktivitātes, starpliktuves saturu un pat tiešsaistes darījumus. Draudi spēj arī lejupielādēt un apstrādāt attēlus no attālā servera, pievienojot vēl vienu slāni tā novērošanas iespējām.
Palaižot negodīgo lietotni Telegram Premium, tā pieprasa atļauju piekļūt lietotāju kontaktiem, zvanu žurnāliem un īsziņām. Pēc tam tiek parādīta pieteikšanās lapa, kas atspoguļo oficiālo Telegram vietni, izmantojot WebView, mēģinot iegūt lietotāja akreditācijas datus. Tomēr datu vākšanas process tiek aktivizēts pat tad, ja lietotājs neievada savus pieteikšanās datus.
Pastāvīgas attālās piekļuves uzturēšana
Viena no mānīgākajām FireScam funkcijām ir tā iespēja reģistrēties Firebase mākoņa ziņojumapmaiņas (FCM) paziņojumiem. Tas ļauj draudiem saņemt attālinātas instrukcijas un uzturēt pastāvīgu slēptu piekļuvi ierīcei. Turklāt tas izveido WebSocket savienojumu ar savu komandu un kontroles (C2) serveri, lai atvieglotu datu zādzību un veiktu turpmākas nedrošas darbības.
Citas kaitīgas sastāvdaļas un neatbildēti jautājumi
Pētnieki atklāja arī citu kaitīgu artefaktu, kas mitināts pikšķerēšanas domēnā, ko dēvē par CDEK. Šis nosaukums, iespējams, atsaucas uz Krievijas loģistikas un paku izsekošanas pakalpojumu, kas liecina par plašāku ļaunprātīgu darbību, ne tikai FireScam.
Joprojām nav skaidrs, kas ir aiz šīs darbības vai kā lietotāji tiek novirzīti uz šīm pikšķerēšanas saitēm. Iespējamā taktika varētu ietvert SMS pikšķerēšanas (sushing) vai ļaunprātīgas reklāmas kampaņas. Atdarinot tādus likumīgus pakalpojumus kā RuStore, šīs maldinošās vietnes manipulē ar lietotāju uzticēšanos, lai pārliecinātu personas lejupielādēt krāpnieciskas lietojumprogrammas.
FireScam spēja izfiltrēt datus un veikt uzraudzību uzsver riskus, kas saistīti ar pikšķerēšanas izraisītām izplatīšanas metodēm. Šis gadījums izceļ pastāvīgās problēmas Android lietotāju aizsardzībā pret draudiem, kas izmanto sociālo inženieriju un uzticēšanos labi zināmām platformām.
