Phần mềm độc hại FireScam Mobile

Một mối đe dọa Android mới được xác định có tên FireScam đã được phát hiện. Nó ngụy trang thành phiên bản nâng cao của ứng dụng nhắn tin Telegram. Chiến thuật lừa đảo này cho phép phần mềm đe dọa trích xuất dữ liệu người dùng nhạy cảm và duy trì quyền truy cập từ xa liên tục vào các thiết bị bị xâm phạm.

Một cách ngụy trang khéo léo: Ứng dụng Telegram Premium giả mạo

FireScam được phân phối dưới vỏ bọc là ứng dụng 'Telegram Premium' giả mạo. Nó lây lan qua một trang web lừa đảo được lưu trữ trên GitHub.io, tự giới thiệu là RuStore—một chợ ứng dụng nổi tiếng ở Nga. Các nhà phân tích bảo mật mô tả mối đe dọa di động này là phức tạp và có khả năng thích ứng cao. Sau khi cài đặt, nó sẽ trải qua một quá trình lây nhiễm nhiều giai đoạn, bắt đầu bằng một APK thả xuống tạo điều kiện cho việc giám sát mở rộng.

Trang web lừa đảo rustore-apk.github.io mô phỏng giao diện của RuStore và được thiết kế để lừa người dùng tải xuống tệp APK có tên 'GetAppsRu.apk.'

Vai trò của Dropper trong cuộc tấn công của FireScam

Sau khi cài đặt, dropper đóng vai trò là cơ chế phân phối cho payload chính. Thành phần cốt lõi này chịu trách nhiệm thu thập và truyền thông tin nhạy cảm—như tin nhắn, thông báo và dữ liệu ứng dụng—đến Firebase Realtime Database.

Để tăng cường khả năng kiểm soát, phần mềm độc hại này yêu cầu nhiều quyền, bao gồm quyền truy cập vào bộ nhớ ngoài và khả năng cài đặt, cập nhật hoặc xóa ứng dụng trên thiết bị Android chạy phiên bản 8 trở lên.

Một khía cạnh đặc biệt đáng lo ngại của FireScam là việc khai thác quyền ENFORCE_UPDATE_OWNERSHIP. Tính năng Android này cho phép trình cài đặt gốc của ứng dụng trở thành 'chủ sở hữu bản cập nhật' của ứng dụng, nghĩa là chỉ chủ sở hữu được chỉ định mới có thể khởi tạo các bản cập nhật. Bằng cách tận dụng cơ chế này, FireScam có thể chặn các bản cập nhật hợp pháp từ các nguồn khác, đảm bảo sự hiện diện liên tục của nó trên thiết bị bị nhiễm.

Tính năng giám sát và tránh né nâng cao

FireScam sử dụng các kỹ thuật che giấu để chống lại việc phát hiện và phân tích. Nó chủ động theo dõi các thông báo đến, thay đổi trạng thái màn hình, hoạt động của người dùng, nội dung clipboard và thậm chí cả giao dịch trực tuyến. Mối đe dọa này cũng có khả năng tải xuống và xử lý hình ảnh từ máy chủ từ xa, thêm một lớp nữa vào khả năng giám sát của nó.

Khi khởi chạy, ứng dụng Telegram Premium giả mạo yêu cầu quyền truy cập danh bạ, nhật ký cuộc gọi và tin nhắn SMS của người dùng. Sau đó, nó hiển thị trang đăng nhập phản ánh trang web Telegram chính thức thông qua WebView, cố gắng thu thập thông tin đăng nhập của người dùng. Tuy nhiên, quá trình thu thập dữ liệu được kích hoạt ngay cả khi người dùng không nhập thông tin đăng nhập của họ.

Duy trì quyền truy cập từ xa liên tục

Một trong những chức năng nguy hiểm hơn của FireScam là khả năng đăng ký thông báo Firebase Cloud Messaging (FCM). Điều này cho phép mối đe dọa nhận được hướng dẫn từ xa và duy trì quyền truy cập bí mật liên tục vào thiết bị. Ngoài ra, nó thiết lập kết nối WebSocket với máy chủ chỉ huy và kiểm soát (C2) của nó để tạo điều kiện cho hành vi trộm cắp dữ liệu và thực hiện các hành động không an toàn hơn nữa.

Các thành phần có hại khác và những câu hỏi chưa được trả lời

Các nhà nghiên cứu cũng xác định được một hiện vật có hại khác được lưu trữ trên miền lừa đảo, được gọi là 'CDEK'. Tên này có thể ám chỉ một dịch vụ hậu cần và theo dõi bưu kiện của Nga, cho thấy hoạt động độc hại rộng hơn không chỉ giới hạn ở FireScam.

Vẫn chưa rõ ai đứng sau hoạt động này hoặc người dùng được chuyển hướng đến các liên kết lừa đảo này như thế nào. Các chiến thuật tiềm năng có thể bao gồm lừa đảo qua tin nhắn SMS (smishing) hoặc các chiến dịch quảng cáo độc hại. Bằng cách bắt chước các dịch vụ hợp pháp như RuStore, các trang web lừa đảo này thao túng lòng tin của người dùng để thuyết phục mọi người tải xuống các ứng dụng gian lận.

Khả năng rò rỉ dữ liệu và tiến hành giám sát của FireScam nhấn mạnh những rủi ro liên quan đến các phương pháp phân phối do lừa đảo. Trường hợp này nêu bật những thách thức đang diễn ra trong việc bảo vệ người dùng Android khỏi các mối đe dọa khai thác kỹ thuật xã hội và sự tin tưởng vào các nền tảng nổi tiếng.