FireScam Mobil Kötü Amaçlı Yazılım
FireScam adlı yeni tanımlanmış bir Android tehdidi ortaya çıkarıldı. Kendini Telegram mesajlaşma uygulamasının geliştirilmiş bir sürümü olarak gizler. Bu aldatıcı taktik, tehdit edici yazılımın hassas kullanıcı verilerini çıkarmasını ve tehlikeye atılmış cihazlara sürekli uzaktan erişimi sürdürmesini sağlar.
İçindekiler
Akıllıca Bir Kılık Değiştirme: Sahte Telegram Premium Uygulaması
FireScam, sahte bir 'Telegram Premium' uygulaması kisvesi altında dağıtılır. GitHub.io'da barındırılan ve kendisini Rusya'da iyi bilinen bir uygulama pazarı olan RuStore olarak sahte bir şekilde tanıtan bir kimlik avı web sitesi aracılığıyla yayılır. Güvenlik analistleri bu mobil tehdidi karmaşık ve oldukça uyarlanabilir olarak tanımlar. Kurulduktan sonra, kapsamlı gözetimi kolaylaştıran bir dropper APK ile başlayan çok aşamalı bir enfeksiyon sürecini takip eder.
Sahte site rustore-apk.github.io, RuStore'un arayüzünü taklit ediyor ve kullanıcıları 'GetAppsRu.apk' adlı bir dropper APK dosyasını indirmeye kandırmak için tasarlanmış.
Dropper’ın FireScam Saldırısındaki Rolü
Kurulumdan sonra, dropper birincil yük için bir teslimat mekanizması olarak hizmet eder. Bu çekirdek bileşen, mesajlar, bildirimler ve uygulama verileri gibi hassas bilgileri toplamak ve bir Firebase Gerçek Zamanlı Veritabanına iletmekten sorumludur.
Dropper, kontrolünü güçlendirmek için Android 8 ve üzeri sürümlerini çalıştıran cihazlarda harici depolama alanına erişim ve uygulama yükleme, güncelleme veya kaldırma yetkisi gibi birden fazla izin talep ediyor.
FireScam'in özellikle endişe verici bir yönü, ENFORCE_UPDATE_OWNERSHIP iznini kötüye kullanmasıdır. Bu Android özelliği, bir uygulamanın orijinal yükleyicisinin 'güncelleme sahibi' olmasına izin verir, yani yalnızca belirlenmiş sahip güncellemeleri başlatabilir. FireScam, bu mekanizmadan yararlanarak diğer kaynaklardan gelen meşru güncellemeleri engelleyebilir ve böylece enfekte cihazda varlığının devam etmesini sağlayabilir.
Gelişmiş Kaçınma ve Gözetleme Özellikleri
FireScam, tespit ve analize direnmek için karartma teknikleri kullanır. Gelen bildirimleri, ekran durumundaki değişiklikleri, kullanıcı etkinliğini, pano içeriğini ve hatta çevrimiçi işlemleri etkin bir şekilde izler. Tehdit ayrıca uzak bir sunucudan görüntüleri indirip işleyebilir ve bu da gözetim yeteneklerine başka bir katman ekler.
Başlatıldığında, sahte Telegram Premium uygulaması kullanıcıların kişilerine, arama kayıtlarına ve SMS mesajlarına erişim izni ister. Daha sonra bir WebView aracılığıyla resmi Telegram web sitesini yansıtan bir oturum açma sayfası sunar ve kullanıcı kimlik bilgilerini ele geçirmeye çalışır. Ancak, kullanıcı oturum açma bilgilerini girmese bile veri toplama süreci tetiklenir.
Kalıcı Uzaktan Erişimi Sürdürme
FireScam'in daha sinsi işlevlerinden biri de Firebase Cloud Messaging (FCM) bildirimlerine kaydolma yeteneğidir. Bu, tehdidin uzaktan talimatlar almasına ve cihaza sürekli gizli erişimi sürdürmesine olanak tanır. Ek olarak, veri hırsızlığını kolaylaştırmak ve daha fazla güvenli olmayan eylem yürütmek için komut ve kontrol (C2) sunucusuyla bir WebSocket bağlantısı kurar.
Diğer Zararlı Bileşenler ve Cevaplanmamış Sorular
Araştırmacılar ayrıca 'CDEK' olarak adlandırılan kimlik avı etki alanında barındırılan başka bir zararlı yapıyı da tespit ettiler. Bu isim muhtemelen bir Rus lojistik ve paket izleme hizmetine atıfta bulunuyor ve bu da FireScam'in ötesinde daha geniş kapsamlı kötü amaçlı bir faaliyete işaret ediyor.
Bu operasyonun arkasında kimin olduğu veya kullanıcıların bu kimlik avı bağlantılarına nasıl yönlendirildiği belirsizliğini koruyor. Olası taktikler arasında SMS kimlik avı (smishing) veya kötü amaçlı reklam kampanyaları yer alabilir. Bu aldatıcı web siteleri, RuStore gibi meşru hizmetleri taklit ederek, kişileri sahte uygulamaları indirmeye ikna etmek için kullanıcı güvenini manipüle eder.
FireScam'in verileri sızdırma ve gözetim yürütme becerisi, kimlik avı odaklı dağıtım yöntemleriyle ilişkili riskleri vurgular. Bu vaka, Android kullanıcılarını sosyal mühendislik ve bilinen platformlara duyulan güveni istismar eden tehditlerden korumadaki devam eden zorlukları vurgular.
