Zlonamerna programska oprema za mobilne naprave FireScam
Odkrita je bila novo ugotovljena grožnja za Android z imenom FireScam. Prikriva se kot izboljšana različica aplikacije za sporočanje Telegram. Ta zavajajoča taktika omogoča grozeči programski opremi, da izvleče občutljive uporabniške podatke in vzdržuje trajni oddaljeni dostop do ogroženih naprav.
Kazalo
Pametna preobleka: lažna aplikacija Telegram Premium
FireScam se distribuira pod krinko ponarejene aplikacije 'Telegram Premium'. Širi se prek lažnega spletnega mesta, ki gostuje na GitHub.io in se lažno predstavlja kot RuStore – znana tržnica aplikacij v Rusiji. Varnostni analitiki to mobilno grožnjo opisujejo kot kompleksno in zelo prilagodljivo. Ko je nameščen, sledi večstopenjskemu procesu okužbe, ki se začne s kapalnim APK-jem, ki omogoča obsežen nadzor.
Goljufivo spletno mesto, rustore-apk.github.io, posnema vmesnik RuStore in je zasnovano tako, da uporabnike pretenta v prenos datoteke APK s kapalko, imenovane »GetAppsRu.apk«.
Dropperjeva vloga pri napadu FireScam
Po namestitvi kapalka služi kot dostavni mehanizem za primarni tovor. Ta osnovna komponenta je odgovorna za zbiranje in prenos občutljivih informacij, kot so sporočila, obvestila in podatki o aplikaciji, v zbirko podatkov Firebase v realnem času.
Za okrepitev nadzora dropper zahteva več dovoljenj, ki vključujejo dostop do zunanjega pomnilnika in možnost namestitve, posodobitve ali odstranitve aplikacij v napravah Android z različico 8 in novejšimi.
Posebej zaskrbljujoč vidik FireScam je njegovo izkoriščanje dovoljenja ENFORCE_UPDATE_OWNERSHIP. Ta funkcija Androida omogoča, da izvirni namestitveni program aplikacije postane njen 'lastnik posodobitve', kar pomeni, da lahko samo imenovani lastnik sproži posodobitve. Z uporabo tega mehanizma lahko FireScam blokira zakonite posodobitve iz drugih virov, s čimer zagotovi svojo nadaljnjo prisotnost na okuženi napravi.
Napredne funkcije izogibanja in nadzora
FireScam uporablja tehnike zamegljevanja, da prepreči odkrivanje in analizo. Aktivno spremlja dohodna obvestila, spremembe v stanju zaslona, uporabniško dejavnost, vsebino odložišča in celo spletne transakcije. Grožnja je prav tako sposobna prenašati in obdelovati slike z oddaljenega strežnika, kar dodaja še eno raven svojim nadzornim zmogljivostim.
Ko se zažene, lažna aplikacija Telegram Premium zahteva dovoljenje za dostop do uporabnikovih stikov, dnevnikov klicev in sporočil SMS. Nato predstavi prijavno stran, ki zrcali uradno spletno mesto Telegram prek spletnega pogleda in poskuša zajeti uporabniške poverilnice. Vendar pa se postopek zbiranja podatkov sproži, tudi če uporabnik ne vnese svojih podatkov za prijavo.
Vzdrževanje stalnega oddaljenega dostopa
Ena od bolj zahrbtnih funkcij FireScam je njegova zmožnost registracije za obvestila Firebase Cloud Messaging (FCM). To grožnji omogoča prejemanje navodil na daljavo in vzdrževanje stalnega prikritega dostopa do naprave. Poleg tega vzpostavi povezavo WebSocket s svojim strežnikom za ukaze in nadzor (C2), da olajša krajo podatkov in izvede nadaljnja nevarna dejanja.
Druge škodljive komponente in neodgovorjena vprašanja
Raziskovalci so odkrili še en škodljiv artefakt, ki gostuje v domeni lažnega predstavljanja, imenovan »CDEK«. To ime se verjetno nanaša na rusko logistično storitev in storitev sledenja paketom, kar kaže na širšo zlonamerno dejavnost, ki presega samo FireScam.
Še vedno ni jasno, kdo stoji za to operacijo ali kako so uporabniki usmerjeni na te lažne povezave. Morebitne taktike bi lahko vključevale lažno predstavljanje SMS (smishing) ali zlorabne oglaševalske akcije. S posnemanjem zakonitih storitev, kot je RuStore, te goljufive spletne strani manipulirajo z zaupanjem uporabnikov, da bi prepričale posameznike, da prenesejo goljufive aplikacije.
Sposobnost FireScam-a, da izloči podatke in izvaja nadzor, poudarja tveganja, povezana z metodami distribucije, ki temeljijo na lažnem predstavljanju. Ta primer poudarja nenehne izzive pri zaščiti uporabnikov Androida pred grožnjami, ki izkoriščajo socialni inženiring in zaupanje v znane platforme.
