FireScam Mobile Malware
Ang isang bagong natukoy na banta sa Android na pinangalanang FireScam ay natuklasan. Nagkukunwari ito bilang pinahusay na bersyon ng Telegram messaging app. Ang mapanlinlang na taktika na ito ay nagbibigay-daan sa nagbabantang software na kunin ang sensitibong data ng user at mapanatili ang patuloy na malayuang pag-access sa mga nakompromisong device.
Talaan ng mga Nilalaman
Isang Matalinong Pagbalatkayo: Pekeng Telegram Premium na Application
Ang FireScam ay ipinamahagi sa ilalim ng pagkukunwari ng isang pekeng 'Telegram Premium' na application. Kumakalat ito sa pamamagitan ng isang phishing website na naka-host sa GitHub.io, na maling nagpapakita ng sarili bilang RuStore—isang kilalang app marketplace sa Russia. Inilalarawan ng mga security analyst ang banta sa mobile na ito bilang kumplikado at lubos na madaling ibagay. Kapag na-install na, ito ay sumusunod sa isang multi-stage na proseso ng impeksyon, simula sa isang dropper APK na nagpapadali ng malawak na pagsubaybay.
Ang mapanlinlang na site, rustore-apk.github.io, ay ginagaya ang interface ng RuStore at idinisenyo upang linlangin ang mga user sa pag-download ng dropper APK file na tinatawag na 'GetAppsRu.apk.'
Ang Papel ng Dropper sa Pag-atake ng FireScam
Pagkatapos ng pag-install, ang dropper ay nagsisilbing mekanismo ng paghahatid para sa pangunahing payload. Ang pangunahing bahagi na ito ay responsable para sa pagkolekta at pagpapadala ng sensitibong impormasyon—gaya ng mga mensahe, notification, at data ng application—sa isang Firebase Realtime Database.
Upang palakasin ang kontrol nito, humihiling ang dropper ng maraming pahintulot, na kinabibilangan ng access sa external na storage at kakayahang mag-install, mag-update, o mag-alis ng mga application sa mga Android device na tumatakbo sa bersyon 8 at mas bago.
Ang partikular na nauukol na aspeto ng FireScam ay ang pagsasamantala nito sa pahintulot na ENFORCE_UPDATE_OWNERSHIP. Binibigyang-daan ng feature ng Android na ito ang orihinal na installer ng application na maging 'may-ari ng update,' ibig sabihin, ang itinalagang may-ari lang ang makakapagsimula ng mga update. Sa pamamagitan ng paggamit sa mekanismong ito, maaaring harangan ng FireScam ang mga lehitimong update mula sa iba pang mga mapagkukunan, na tinitiyak ang patuloy na presensya nito sa nahawaang device.
Mga Tampok ng Advanced na Pag-iwas at Pagsubaybay
Gumagamit ang FireScam ng mga diskarte sa obfuscation upang labanan ang pagtuklas at pagsusuri. Aktibo nitong sinusubaybayan ang mga papasok na notification, mga pagbabago sa estado ng screen, aktibidad ng user, nilalaman ng clipboard, at maging ang mga online na transaksyon. Ang banta ay may kakayahang mag-download at magproseso ng mga imahe mula sa isang malayuang server, pagdaragdag ng isa pang layer sa mga kakayahan nito sa pagsubaybay.
Kapag inilunsad, humihiling ng pahintulot ang rogue Telegram Premium app na i-access ang mga contact, log ng tawag, at SMS na mensahe ng mga user. Pagkatapos ay nagpapakita ito ng isang pahina sa pag-login na sumasalamin sa opisyal na website ng Telegram sa pamamagitan ng isang WebView, na sinusubukang makuha ang mga kredensyal ng gumagamit. Gayunpaman, ang proseso ng pagkolekta ng data ay na-trigger kahit na hindi ipasok ng user ang kanilang mga detalye sa pag-log in.
Pagpapanatili ng Persistent Remote Access
Ang isa sa mga mas mapanlinlang na function ng FireScam ay ang kakayahang magrehistro para sa mga notification ng Firebase Cloud Messaging (FCM). Nagbibigay-daan ito sa banta na makatanggap ng malalayong tagubilin at mapanatili ang patuloy na lihim na pag-access sa device. Bukod pa rito, nagtatatag ito ng koneksyon sa WebSocket kasama ang command-and-control (C2) server nito upang mapadali ang pagnanakaw ng data at magsagawa ng higit pang hindi ligtas na mga aksyon.
Iba Pang Mapanganib na Bahagi at Mga Tanong na Hindi Nasasagot
Natukoy din ng mga mananaliksik ang isa pang mapaminsalang artifact na naka-host sa phishing domain, na tinutukoy bilang 'CDEK.' Ang pangalang ito ay malamang na tumutukoy sa isang Russian logistics at package-tracking service, na nagmumungkahi ng mas malawak na nakakahamak na aktibidad na higit pa sa FireScam.
Nananatiling hindi malinaw kung sino ang nasa likod ng operasyong ito o kung paano idinidirekta ang mga user sa mga link sa phishing na ito. Maaaring kabilang sa mga potensyal na taktika ang SMS phishing (smishing) o mga kampanyang malvertising. Sa pamamagitan ng paggaya sa mga lehitimong serbisyo tulad ng RuStore, ang mga mapanlinlang na website na ito ay minamanipula ng tiwala ng user upang kumbinsihin ang mga indibidwal na mag-download ng mga mapanlinlang na application.
Ang kakayahan ng FireScam na i-exfiltrate ang data at magsagawa ng surveillance ay binibigyang-diin ang mga panganib na nauugnay sa mga paraan ng pamamahagi na hinimok ng phishing. Itinatampok ng kasong ito ang patuloy na mga hamon sa pagprotekta sa mga user ng Android mula sa mga banta na nagsasamantala sa social engineering at nagtitiwala sa mga kilalang platform.
