ФиреСцам Мобиле Малвер
Откривена је новоидентификована Андроид претња под називом ФиреСцам. Прерушава се као побољшана верзија апликације за размену порука Телеграм. Ова обмањујућа тактика омогућава претећем софтверу да извуче осетљиве корисничке податке и одржи упоран даљински приступ компромитованим уређајима.
Преглед садржаја
Паметна маска: лажна апликација Телеграм Премиум
ФиреСцам се дистрибуира под маском фалсификоване апликације „Телеграм Премиум“. Шири се преко веб локације за пхисхинг хостовану на ГитХуб.ио, која се лажно представља као РуСторе — добро познато тржиште апликација у Русији. Безбедносни аналитичари описују ову мобилну претњу као сложену и веома прилагодљиву. Једном инсталиран, прати вишестепени процес инфекције, почевши од АПК-а са капаљком који олакшава опсежан надзор.
Лажни сајт, русторе-апк.гитхуб.ио, опонаша интерфејс РуСторе-а и дизајниран је да превари кориснике да преузму АПК датотеку која се зове „ГетАппсРу.апк“.
Улога Дроппер-а у нападу ФиреСцам-а
Након уградње, капаљка служи као механизам за испоруку примарног терета. Ова основна компонента је одговорна за прикупљање и преношење осетљивих информација—као што су поруке, обавештења и подаци апликација—Фиребасе бази података у реалном времену.
Да би ојачао своју контролу, дроппер захтева више дозвола, које укључују приступ спољној меморији и могућност инсталирања, ажурирања или уклањања апликација на Андроид уређајима који користе верзију 8 и новију.
Посебно забрињавајући аспект ФиреСцам-а је његово коришћење ЕНФОРЦЕ_УПДАТЕ_ОВНЕРСХИП дозволе. Ова Андроид функција омогућава да оригинални инсталатер апликације постане њен „власник ажурирања“, што значи да само одређени власник може да покрене ажурирања. Коришћењем овог механизма, ФиреСцам може да блокира легитимна ажурирања из других извора, обезбеђујући његово стално присуство на зараженом уређају.
Напредне функције утаје и надзора
ФиреСцам користи технике замагљивања да би се одупирао откривању и анализи. Активно прати долазна обавештења, промене у стању екрана, активности корисника, садржај међуспремника, па чак и онлајн трансакције. Претња такође може да преузима и обрађује слике са удаљеног сервера, додајући још један слој својим могућностима надзора.
Када се покрене, лажна апликација Телеграм Премиум тражи дозволу за приступ контактима корисника, евиденцији позива и СМС порукама. Затим представља страницу за пријаву која одражава званичну веб локацију Телеграма преко ВебВиев-а, покушавајући да ухвати корисничке акредитиве. Међутим, процес прикупљања података се покреће чак и ако корисник не унесе своје податке за пријаву.
Одржавање трајног даљинског приступа
Једна од подмуклијих функција ФиреСцам-а је његова способност да се региструје за Фиребасе Цлоуд Мессагинг (ФЦМ) обавештења. Ово омогућава претњи да прима упутства на даљину и да одржава стални тајни приступ уређају. Поред тога, успоставља ВебСоцкет везу са својим сервером за команду и контролу (Ц2) како би олакшао крађу података и извршио даље небезбедне радње.
Друге штетне компоненте и неодговорена питања
Истраживачи су такође идентификовали још један штетни артефакт који се налази на пхисхинг домену, који се назива „ЦДЕК“. Ово име вероватно упућује на руску логистику и услугу праћења пакета, сугеришући шире злонамерне активности које не обухвата само ФиреСцам.
Остаје нејасно ко стоји иза ове операције или како се корисници упућују на ове пхисхинг везе. Потенцијалне тактике могу укључити СМС пхисхинг (смисхинг) или злонамерне кампање. Имитирајући легитимне услуге као што је РуСторе, ови обмањујући веб-сајтови манипулишу поверењем корисника како би убедили појединце да преузимају лажне апликације.
Способност ФиреСцам-а да ексфилтрира податке и спроводи надзор наглашава ризике повезане са методама дистрибуције заснованим на пхисхинг-у. Овај случај наглашава текуће изазове у заштити Андроид корисника од претњи које искоришћавају друштвени инжењеринг и поверење у добро познате платформе.
