FireScam Mobile Malware
Odkryto nowo zidentyfikowane zagrożenie dla Androida o nazwie FireScam. Ukrywa się pod postacią ulepszonej wersji aplikacji do przesyłania wiadomości Telegram. Ta oszukańcza taktyka umożliwia groźnemu oprogramowaniu wyodrębnienie poufnych danych użytkownika i utrzymanie stałego zdalnego dostępu do zainfekowanych urządzeń.
Spis treści
Sprytne przebranie: fałszywa aplikacja Telegram Premium
FireScam jest rozpowszechniany pod przykrywką fałszywej aplikacji „Telegram Premium”. Rozprzestrzenia się za pośrednictwem witryny phishingowej hostowanej na GitHub.io, która fałszywie przedstawia się jako RuStore — znany rosyjski rynek aplikacji. Analitycy ds. bezpieczeństwa opisują to mobilne zagrożenie jako złożone i wysoce adaptowalne. Po zainstalowaniu przechodzi przez wieloetapowy proces infekcji, zaczynając od droppera APK, który ułatwia rozległy nadzór.
Fałszywa witryna rustore-apk.github.io naśladuje interfejs RuStore i ma na celu nakłonienie użytkowników do pobrania pliku APK o nazwie „GetAppsRu.apk”.
Rola Droppera w ataku FireScam
Po instalacji dropper służy jako mechanizm dostarczania głównego ładunku. Ten główny komponent odpowiada za zbieranie i przesyłanie poufnych informacji — takich jak wiadomości, powiadomienia i dane aplikacji — do bazy danych Firebase Realtime Database.
Aby wzmocnić kontrolę, dropper żąda wielu uprawnień, które obejmują dostęp do pamięci zewnętrznej oraz możliwość instalowania, aktualizowania lub usuwania aplikacji na urządzeniach z Androidem w wersji 8 i nowszych.
Szczególnie niepokojącym aspektem FireScam jest wykorzystywanie uprawnienia ENFORCE_UPDATE_OWNERSHIP. Ta funkcja Androida pozwala oryginalnemu instalatorowi aplikacji stać się jej „właścicielem aktualizacji”, co oznacza, że tylko wyznaczony właściciel może inicjować aktualizacje. Wykorzystując ten mechanizm, FireScam może blokować legalne aktualizacje z innych źródeł, zapewniając ciągłą obecność na zainfekowanym urządzeniu.
Zaawansowane funkcje unikania i nadzoru
FireScam stosuje techniki zaciemniania, aby oprzeć się wykryciu i analizie. Aktywnie monitoruje przychodzące powiadomienia, zmiany stanu ekranu, aktywność użytkownika, zawartość schowka, a nawet transakcje online. Zagrożenie jest również w stanie pobierać i przetwarzać obrazy ze zdalnego serwera, dodając kolejną warstwę do swoich możliwości nadzoru.
Po uruchomieniu nieuczciwa aplikacja Telegram Premium żąda pozwolenia na dostęp do kontaktów użytkowników, rejestrów połączeń i wiadomości SMS. Następnie wyświetla stronę logowania, która odzwierciedla oficjalną stronę internetową Telegram za pośrednictwem WebView, próbując przechwycić dane uwierzytelniające użytkownika. Jednak proces gromadzenia danych jest uruchamiany nawet wtedy, gdy użytkownik nie wprowadzi swoich danych logowania.
Utrzymywanie stałego dostępu zdalnego
Jedną z bardziej podstępnych funkcji FireScam jest możliwość rejestrowania powiadomień Firebase Cloud Messaging (FCM). Pozwala to zagrożeniu na otrzymywanie zdalnych instrukcji i utrzymywanie stałego ukrytego dostępu do urządzenia. Ponadto nawiązuje połączenie WebSocket ze swoim serwerem poleceń i kontroli (C2), aby ułatwić kradzież danych i wykonywanie dalszych niebezpiecznych działań.
Inne szkodliwe składniki i pytania bez odpowiedzi
Badacze zidentyfikowali również inny szkodliwy artefakt hostowany w domenie phishingowej, określanej jako „CDEK”. Nazwa ta prawdopodobnie odnosi się do rosyjskiej usługi logistycznej i śledzenia przesyłek, co sugeruje szerszą złośliwą aktywność wykraczającą poza sam FireScam.
Nie jest jasne, kto stoi za tą operacją ani w jaki sposób użytkownicy są kierowani do tych linków phishingowych. Potencjalne taktyki mogą obejmować phishing SMS (smishing) lub kampanie malvertisingowe. Imitując legalne usługi, takie jak RuStore, te oszukańcze strony internetowe manipulują zaufaniem użytkowników, aby przekonać ich do pobierania fałszywych aplikacji.
Możliwość FireScam do eksfiltracji danych i prowadzenia nadzoru podkreśla ryzyko związane z metodami dystrybucji opartymi na phishingu. Ta sprawa podkreśla bieżące wyzwania w ochronie użytkowników Androida przed zagrożeniami wykorzystującymi inżynierię społeczną i zaufanie do znanych platform.
