Firestarter Trojan

O Firestarter Trojan é um novo malware de carregamento do Android que abusa do serviço legítimo Firebase Cloud Messaging (FCM) para se comunicar com sua infraestrutura de Comando e Controle (C2, C&C). Firebase é uma subsidiária da gigante da tecnologia Google, e seu serviço FCM é uma ferramenta de plataforma cruzada para mensagens e notificações para Android, iOS e outros aplicativos da Web.

O Firestarter Trojan foi detectado como parte das operações do grupo de ameaças persistentes avançadas denominado DoNot. A ameaça de malware mostra os esforços do DoNot para reforçar a persistência de seus pontos de apoio estabelecidos nos dispositivos comprometidos. Também demonstra a capacidade dos hackers de adotar novas técnicas e implementá-las em suas ferramentas de malware rapidamente. O foco principal do DoNot permaneceu na região do Sul da Ásia e, mais especificamente, na Índia e no Paquistão de forma consistente.

Embora não tenha sido confirmado de forma decisiva, o vetor de distribuição mais provável do carregador Firestarter é através de mensagens diretas de engenharia social que tentam enganar os usuários desavisados para que instalem um aplicativo ameaçador que finge ser uma plataforma de bate-papo. Os nomes dos arquivos do aplicativo - ashmir_sample.apk ou Kashmir_Voice_v4.8.apk, mostram o interesse contínuo do DoNot na crise da Caxemira.

O Firestarter Trojan Abusa de um Serviço Legítimo

Depois de executado, o aplicativo de malware inicia uma rotina de desvio que inclui várias mensagens de erro falsas exibidas ao usuário na tentativa de ocultar sua atividade ameaçadora. As mensagens afirmam falsamente que o aplicativo não é compatível e que será desinstalado. Para fingir que o aplicativo não está mais instalado, seu ícone será removido da interface do usuário. No entanto, passar pelas configurações do dispositivo mostrará que o aplicativo ainda está presente no dispositivo e funcionando em segundo plano.

A principal funcionalidade do Firestarter Trojan é estabelecer uma conexão com os servidores C2 e entregar e implantar a carga útil do malware. Em sua comunicação de saída, o carregador envia um token do Google FCM que contém várias informações do sistema, incluindo endereço IP, geolocalização, IMEI e endereço de e-mail. Essas informações iniciais ajudam os hackers a determinar se o alvo é digno de ser infectado pela principal ameaça de malware. Se decidirem prosseguir, os cibercriminosos retornam uma mensagem FCM ao carregador contendo o link de onde deve buscar a carga útil.

O fato do tráfego do Firestarter Trojan explorar um serviço legítimo o ajuda a se misturar melhor com o resto da comunicação gerada pelo sistema operacional Android usando a infraestrutura do Google. Outra medida contra a fácil detecção é o download pós-comprometimento da carga ameaçadora, que minimiza a pegada inicial da ameaça de malware que precisa se infiltrar no dispositivo visado.