FireScam Mobile Malware
O amenințare Android nou identificată, numită FireScam, a fost descoperită. Se deghizează ca o versiune îmbunătățită a aplicației de mesagerie Telegram. Această tactică înșelătoare permite software-ului amenințător să extragă date sensibile ale utilizatorilor și să mențină accesul persistent la distanță la dispozitivele compromise.
Cuprins
O deghizare inteligentă: aplicație falsă Telegram Premium
FireScam este distribuit sub masca unei aplicații „Telegram Premium” contrafăcute. Se răspândește printr-un site web de phishing găzduit pe GitHub.io, care se prezintă în mod fals ca RuStore — o piață de aplicații binecunoscută în Rusia. Analiștii de securitate descriu această amenințare mobilă ca fiind complexă și foarte adaptabilă. Odată instalat, urmează un proces de infecție în mai multe etape, începând cu un APK dropper care facilitează supravegherea extinsă.
Site-ul fraudulos, rustore-apk.github.io, imită interfața RuStore și este conceput pentru a păcăli utilizatorii să descarce un fișier APK dropper numit „GetAppsRu.apk”.
Rolul dropperului în atacul lui FireScam
După instalare, dropperul servește ca mecanism de livrare pentru sarcina utilă primară. Această componentă de bază este responsabilă pentru colectarea și transmiterea informațiilor sensibile, cum ar fi mesaje, notificări și date aplicației, către o bază de date Firebase Realtime.
Pentru a-și consolida controlul, dropperul solicită mai multe permisiuni, care includ accesul la stocarea externă și capacitatea de a instala, actualiza sau elimina aplicații pe dispozitivele Android care rulează versiunea 8 și mai nouă.
Un aspect deosebit de îngrijorător al FireScam este exploatarea permisului ENFORCE_UPDATE_OWNERSHIP. Această funcție Android permite programului de instalare original al unei aplicații să devină „proprietarul actualizării”, ceea ce înseamnă că numai proprietarul desemnat poate iniția actualizări. Utilizând acest mecanism, FireScam poate bloca actualizările legitime din alte surse, asigurând prezența sa continuă pe dispozitivul infectat.
Funcții avansate de evaziune și supraveghere
FireScam folosește tehnici de ofuscare pentru a rezista la detecție și analiză. Monitorizează în mod activ notificările primite, modificările stării ecranului, activitatea utilizatorului, conținutul clipboard-ului și chiar tranzacțiile online. Amenințarea este, de asemenea, capabilă să descarce și să proceseze imagini de pe un server la distanță, adăugând un alt nivel capacităților sale de supraveghere.
Când este lansată, aplicația necinstită Telegram Premium solicită permisiunea de a accesa contactele utilizatorilor, jurnalele de apeluri și mesajele SMS. Apoi prezintă o pagină de conectare care oglindește site-ul oficial Telegram printr-un WebView, încercând să capteze acreditările utilizatorului. Cu toate acestea, procesul de colectare a datelor este declanșat chiar dacă utilizatorul nu introduce datele de conectare.
Menținerea accesului la distanță persistent
Una dintre funcțiile mai insidioase ale FireScam este capacitatea sa de a se înregistra pentru notificările Firebase Cloud Messaging (FCM). Acest lucru permite amenințării să primească instrucțiuni de la distanță și să mențină accesul ascuns la dispozitiv. În plus, stabilește o conexiune WebSocket cu serverul său de comandă și control (C2) pentru a facilita furtul de date și a executa alte acțiuni nesigure.
Alte componente dăunătoare și întrebări fără răspuns
Cercetătorii au identificat, de asemenea, un alt artefact dăunător găzduit pe domeniul phishing, denumit „CDEK”. Acest nume se referă probabil la un serviciu rusesc de logistică și de urmărire a pachetelor, sugerând o activitate rău intenționată mai largă, dincolo de FireScam.
Rămâne neclar cine se află în spatele acestei operațiuni sau cum sunt direcționați utilizatorii către aceste linkuri de phishing. Tacticile potențiale ar putea implica phishing prin SMS (smishing) sau campanii de malvertising. Imitând servicii legitime precum RuStore, aceste site-uri web înșelătoare manipulează încrederea utilizatorilor pentru a convinge persoanele să descarce aplicații frauduloase.
Capacitatea FireScam de a exfiltra datele și de a efectua supraveghere subliniază riscurile asociate cu metodele de distribuție bazate pe phishing. Acest caz evidențiază provocările continue în protejarea utilizatorilor Android de amenințările care exploatează ingineria socială și încrederea în platforme binecunoscute.
