FireScam 移动恶意软件

发现了一种名为 FireScam 的新 Android 威胁。它伪装成 Telegram 消息应用程序的增强版。这种欺骗性策略使威胁软件能够提取敏感用户数据并维持对受感染设备的持续远程访问。

巧妙的伪装：假冒 Telegram Premium 应用程序

FireScam 以假冒的“Telegram Premium”应用程序为幌子进行传播。它通过托管在 GitHub.io 上的钓鱼网站进行传播，该网站虚假地将自己伪装成 RuStore——俄罗斯一家知名的应用程序市场。安全分析师将这种移动威胁描述为复杂且适应性极强。安装后，它会遵循多阶段感染过程，首先是便于广泛监视的植入程序 APK。

该欺诈网站 rustore-apk.github.io 模仿了 RuStore 的界面，旨在诱骗用户下载名为“GetAppsRu.apk”的植入式 APK 文件。

恶意软件植入者在 FireScam 攻击中扮演的角色

安装后，植入程序将充当主要负载的传送机制。此核心组件负责收集敏感信息（例如消息、通知和应用程序数据）并将其传输到 Firebase 实时数据库。

为了加强控制，植入程序请求多项权限，包括访问外部存储以及在运行 Android 8 及更新版本的 Android 设备上安装、更新或删除应用程序的能力。

FireScam 的一个特别令人担忧的方面是它利用了 ENFORCE_UPDATE_OWNERSHIP 权限。此 Android 功能允许应用程序的原始安装程序成为其“更新所有者”，这意味着只有指定的所有者才能启动更新。通过利用此机制，FireScam 可以阻止来自其他来源的合法更新，确保其继续存在于受感染的设备上。

高级逃避和监视功能

FireScam 采用混淆技术来抵御检测和分析。它会主动监控传入的通知、屏幕状态的变化、用户活动、剪贴板内容，甚至在线交易。该威胁还能够从远程服务器下载和处理图像，为其监控能力增加了另一层保障。

启动后，恶意 Telegram Premium 应用会请求访问用户联系人、通话记录和短信的权限。然后，它会通过 WebView 呈现一个镜像 Telegram 官方网站的登录页面，试图获取用户凭据。然而，即使用户没有输入登录详细信息，也会触发数据收集过程。

维持持久远程访问

FireScam 最阴险的功能之一是能够注册 Firebase 云消息传递 (FCM) 通知。这允许威胁接收远程指令并保持对设备的持续隐蔽访问。此外，它还与其命令和控制 (C2) 服务器建立 WebSocket 连接，以促进数据窃取并执行进一步的不安全操作。

其他有害成分和未解答的问题

研究人员还发现了该钓鱼域名上托管的另一个有害文件，称为“CDEK”。该名称可能指的是俄罗斯的物流和包裹跟踪服务，表明除了 FireScam 之外，还存在更广泛的恶意活动。

目前尚不清楚谁是此次行动的幕后黑手，也不清楚用户是如何被引导到这些钓鱼链接的。潜在的手段可能包括短信钓鱼或恶意广告活动。通过模仿 RuStore 等合法服务，这些欺骗性网站操纵用户信任，诱使个人下载欺诈性应用程序。

FireScam 窃取数据和进行监视的能力凸显了网络钓鱼驱动的分发方法所带来的风险。此案例凸显了保护 Android 用户免受利用社交工程和对知名平台的信任的威胁所面临的持续挑战。