Мобильное вредоносное ПО FireScam
Была обнаружена новая идентифицированная угроза Android под названием FireScam. Она маскируется под улучшенную версию приложения для обмена сообщениями Telegram. Эта обманная тактика позволяет угрожающему программному обеспечению извлекать конфиденциальные данные пользователя и поддерживать постоянный удаленный доступ к скомпрометированным устройствам.
Оглавление
Умная маскировка: поддельное приложение Telegram Premium
FireScam распространяется под видом поддельного приложения «Telegram Premium». Он распространяется через фишинговый сайт, размещенный на GitHub.io, который ложно выдает себя за RuStore — известный в России магазин приложений. Аналитики по безопасности описывают эту мобильную угрозу как сложную и легко адаптируемую. После установки он следует многоэтапному процессу заражения, начиная с APK-файла-дроппера, который обеспечивает обширное наблюдение.
Мошеннический сайт rustore-apk.github.io имитирует интерфейс RuStore и создан для того, чтобы обманом заставить пользователей загрузить APK-файл-дроппер под названием «GetAppsRu.apk».
Роль дроппера в атаке FireScam
После установки дроппер служит механизмом доставки основной полезной нагрузки. Этот основной компонент отвечает за сбор и передачу конфиденциальной информации, такой как сообщения, уведомления и данные приложений, в базу данных Firebase Realtime.
Для усиления контроля вредоносный код запрашивает несколько разрешений, включая доступ к внешнему хранилищу и возможность устанавливать, обновлять или удалять приложения на устройствах Android под управлением версии 8 и более поздних версий.
Особенно тревожным аспектом FireScam является использование разрешения ENFORCE_UPDATE_OWNERSHIP. Эта функция Android позволяет оригинальному установщику приложения стать его «владельцем обновления», что означает, что только назначенный владелец может инициировать обновления. Используя этот механизм, FireScam может блокировать легитимные обновления из других источников, обеспечивая свое постоянное присутствие на зараженном устройстве.
Расширенные функции уклонения и наблюдения
FireScam использует методы обфускации, чтобы противостоять обнаружению и анализу. Он активно отслеживает входящие уведомления, изменения состояния экрана, активность пользователя, содержимое буфера обмена и даже онлайн-транзакции. Угроза также способна загружать и обрабатывать изображения с удаленного сервера, добавляя еще один уровень к своим возможностям наблюдения.
При запуске мошенническое приложение Telegram Premium запрашивает разрешение на доступ к контактам, журналам вызовов и SMS-сообщениям пользователей. Затем оно представляет страницу входа, которая является зеркалом официального сайта Telegram через WebView, пытаясь захватить учетные данные пользователя. Однако процесс сбора данных запускается даже если пользователь не вводит свои данные для входа.
Поддержание постоянного удаленного доступа
Одной из наиболее коварных функций FireScam является его способность регистрироваться для уведомлений Firebase Cloud Messaging (FCM). Это позволяет угрозе получать удаленные инструкции и поддерживать постоянный скрытый доступ к устройству. Кроме того, он устанавливает соединение WebSocket со своим сервером управления и контроля (C2), чтобы облегчить кражу данных и выполнение дальнейших небезопасных действий.
Другие вредные компоненты и вопросы без ответов
Исследователи также обнаружили еще один вредоносный артефакт, размещенный на фишинговом домене, называемом «CDEK». Это имя, вероятно, относится к российскому сервису логистики и отслеживания посылок, что предполагает более широкую вредоносную деятельность, выходящую за рамки одного лишь FireScam.
Остается неясным, кто стоит за этой операцией или как пользователи направляются на эти фишинговые ссылки. Потенциальные тактики могут включать SMS-фишинг (смишинг) или вредоносную рекламу. Имитируя легитимные сервисы, такие как RuStore, эти обманные веб-сайты манипулируют доверием пользователей, чтобы убедить их загрузить мошеннические приложения.
Способность FireScam изымать данные и вести наблюдение подчеркивает риски, связанные с методами распространения, основанными на фишинге. Этот случай подчеркивает текущие проблемы в защите пользователей Android от угроз, которые эксплуатируют социальную инженерию и доверие к известным платформам.
