Malware Mobile FireScam
Një kërcënim i sapoidentifikuar për Android i quajtur FireScam është zbuluar. Ai maskohet si një version i përmirësuar i aplikacionit të mesazheve Telegram. Kjo taktikë mashtruese i mundëson softuerit kërcënues të nxjerrë të dhëna të ndjeshme të përdoruesit dhe të mbajë akses të vazhdueshëm në distancë në pajisjet e komprometuara.
Tabela e Përmbajtjes
Një maskim i zgjuar: Aplikacion Fake Telegram Premium
FireScam shpërndahet nën maskën e një aplikacioni të falsifikuar "Telegram Premium". Ai përhapet përmes një faqe interneti phishing të vendosur në GitHub.io, i cili në mënyrë të rreme paraqet veten si RuStore - një treg i njohur aplikacionesh në Rusi. Analistët e sigurisë e përshkruajnë këtë kërcënim celular si kompleks dhe shumë të adaptueshëm. Pasi të instalohet, ai ndjek një proces infeksioni me shumë faza, duke filluar me një APK pikatore që lehtëson mbikëqyrjen e gjerë.
Faqja mashtruese, rustore-apk.github.io, imiton ndërfaqen e RuStore dhe është krijuar për të mashtruar përdoruesit që të shkarkojnë një skedar APK me pika të quajtur "GetAppsRu.apk".
Roli i Dropper-it në Sulmin e FireScam
Pas instalimit, pikatori shërben si një mekanizëm shpërndarjeje për ngarkesën kryesore. Ky komponent thelbësor është përgjegjës për mbledhjen dhe transmetimin e informacionit të ndjeshëm—siç janë mesazhet, njoftimet dhe të dhënat e aplikacionit—në një bazë të dhënash në kohë reale të Firebase.
Për të forcuar kontrollin e tij, pikatori kërkon leje të shumta, të cilat përfshijnë akses në hapësirën ruajtëse të jashtme dhe aftësinë për të instaluar, përditësuar ose hequr aplikacionet në pajisjet Android që ekzekutojnë versionin 8 e më të ri.
Një aspekt veçanërisht shqetësues i FireScam është shfrytëzimi i lejes ENFORCE_UPDATE_OWNERSHIP. Kjo veçori e Android lejon që instaluesi origjinal i një aplikacioni të bëhet 'pronari i përditësimit' të tij, që do të thotë se vetëm pronari i caktuar mund të iniciojë përditësimet. Duke përdorur këtë mekanizëm, FireScam mund të bllokojë përditësimet e ligjshme nga burime të tjera, duke siguruar praninë e tij të vazhdueshme në pajisjen e infektuar.
Karakteristikat e avancuara të evazionit dhe mbikëqyrjes
FireScam përdor teknika mjegullimi për t'i rezistuar zbulimit dhe analizës. Ai monitoron në mënyrë aktive njoftimet hyrëse, ndryshimet në gjendjen e ekranit, aktivitetin e përdoruesit, përmbajtjen e kujtesës, madje edhe transaksionet në internet. Kërcënimi është gjithashtu i aftë të shkarkojë dhe përpunojë imazhe nga një server në distancë, duke shtuar një shtresë tjetër në aftësitë e tij të mbikëqyrjes.
Kur lançohet, aplikacioni mashtrues Telegram Premium kërkon leje për të hyrë në kontaktet e përdoruesve, regjistrat e thirrjeve dhe mesazhet SMS. Më pas paraqet një faqe identifikimi që pasqyron faqen zyrtare të Telegram nëpërmjet një WebView, duke u përpjekur të kap kredencialet e përdoruesit. Megjithatë, procesi i mbledhjes së të dhënave aktivizohet edhe nëse përdoruesi nuk fut të dhënat e tij të hyrjes.
Ruajtja e qasjes së vazhdueshme në distancë
Një nga funksionet më tinëzare të FireScam është aftësia e tij për t'u regjistruar për njoftimet e Firebase Cloud Messaging (FCM). Kjo i lejon kërcënimit të marrë udhëzime në distancë dhe të mbajë akses të vazhdueshëm të fshehtë në pajisje. Për më tepër, ai krijon një lidhje WebSocket me serverin e tij të komandës dhe kontrollit (C2) për të lehtësuar vjedhjen e të dhënave dhe për të ekzekutuar veprime të mëtejshme të pasigurta.
Komponentë të tjerë të dëmshëm dhe pyetje pa përgjigje
Studiuesit identifikuan gjithashtu një objekt tjetër të dëmshëm të vendosur në domenin e phishing, të referuar si 'CDEK'. Ky emër ka të ngjarë t'i referohet një shërbimi rus të logjistikës dhe ndjekjes së paketave, duke sugjeruar një aktivitet më të gjerë keqdashës përtej FireScam vetëm.
Mbetet e paqartë se kush qëndron pas këtij operacioni ose se si përdoruesit po drejtohen në këto lidhje phishing. Taktikat e mundshme mund të përfshijnë SMS phishing (smishing) ose fushata reklamimi të keq. Duke imituar shërbime legjitime si RuStore, këto faqe interneti mashtruese manipulojnë besimin e përdoruesve për të bindur individët të shkarkojnë aplikacione mashtruese.
Aftësia e FireScam për të nxjerrë të dhëna dhe për të kryer mbikëqyrje nënvizon rreziqet që lidhen me metodat e shpërndarjes të drejtuara nga phishing. Ky rast nxjerr në pah sfidat e vazhdueshme në mbrojtjen e përdoruesve të Android nga kërcënimet që shfrytëzojnë inxhinierinë sociale dhe besimin në platformat e njohura.
