Шкідливе програмне забезпечення для мобільних пристроїв FireScam
Було виявлено нещодавно виявлену загрозу Android під назвою FireScam. Він маскується під розширену версію програми обміну повідомленнями Telegram. Ця оманлива тактика дозволяє загрозливому програмному забезпеченню отримувати конфіденційні дані користувача та підтримувати постійний віддалений доступ до скомпрометованих пристроїв.
Зміст
Вміле маскування: фейковий преміум-додаток Telegram
FireScam поширюється під виглядом підробленої програми «Telegram Premium». Він поширюється через фішинговий веб-сайт, розміщений на GitHub.io, який неправдиво представляє себе як RuStore — відомий ринок додатків у Росії. Аналітики безпеки описують цю мобільну загрозу як складну та дуже адаптивну. Після інсталяції він проходить багатоетапний процес інфікування, починаючи з APK-додавача, що сприяє ретельному нагляду.
Шахрайський сайт rustore-apk.github.io імітує інтерфейс RuStore і призначений для того, щоб обманом змусити користувачів завантажити APK-файл для дроппера під назвою «GetAppsRu.apk».
Роль Dropper в атаці FireScam
Після встановлення дроппер служить механізмом доставки основного корисного навантаження. Цей основний компонент відповідає за збір і передачу конфіденційної інформації, як-от повідомлень, сповіщень і даних програми, до бази даних Firebase Realtime.
Щоб посилити свій контроль, дроппер запитує кілька дозволів, які включають доступ до зовнішньої пам’яті та можливість установлювати, оновлювати або видаляти програми на пристроях Android під керуванням версії 8 і новіших.
Особливо тривожним аспектом FireScam є використання ним дозволу ENFORCE_UPDATE_OWNERSHIP. Ця функція Android дозволяє оригінальному інсталятору програми стати її «власником оновлення», тобто лише призначений власник може ініціювати оновлення. Використовуючи цей механізм, FireScam може блокувати законні оновлення з інших джерел, забезпечуючи його постійну присутність на зараженому пристрої.
Розширені функції ухилення та спостереження
FireScam використовує методи обфускації, щоб протистояти виявленню та аналізу. Він активно відстежує вхідні сповіщення, зміни стану екрана, активність користувачів, вміст буфера обміну та навіть онлайн-транзакції. Загроза також здатна завантажувати та обробляти зображення з віддаленого сервера, додаючи ще один рівень до своїх можливостей спостереження.
Під час запуску шахрайський додаток Telegram Premium запитує дозвіл на доступ до контактів користувачів, журналів викликів і SMS-повідомлень. Потім він представляє сторінку входу, яка відображає офіційний веб-сайт Telegram через WebView, намагаючись отримати облікові дані користувача. Однак процес збору даних запускається, навіть якщо користувач не вводить свої дані для входу.
Підтримка постійного віддаленого доступу
Однією з найпідступніших функцій FireScam є його здатність реєструватися для сповіщень Firebase Cloud Messaging (FCM). Це дозволяє загрозі отримувати віддалені інструкції та підтримувати постійний прихований доступ до пристрою. Крім того, він встановлює з’єднання WebSocket зі своїм командно-контрольним (C2) сервером, щоб полегшити крадіжку даних і виконати подальші небезпечні дії.
Інші шкідливі компоненти та запитання без відповіді
Дослідники також виявили ще один шкідливий артефакт, розміщений у фішинговому домені під назвою «CDEK». Ця назва, ймовірно, посилається на російську службу логістики та відстеження посилок, що свідчить про ширшу шкідливу діяльність, окрім FireScam.
Залишається незрозумілим, хто стоїть за цією операцією або як користувачі спрямовуються на ці фішингові посилання. Потенційна тактика може включати SMS-фішинг (смішинг) або рекламні кампанії. Імітуючи законні служби, такі як RuStore, ці шахрайські веб-сайти маніпулюють довірою користувачів, щоб переконати людей завантажити шахрайські програми.
Здатність FireScam викрадати дані та здійснювати стеження підкреслює ризики, пов’язані з методами розповсюдження, керованими фішингом. Цей випадок підкреслює постійні проблеми із захистом користувачів Android від загроз, які використовують соціальну інженерію та довіру до добре відомих платформ.
