FireScam 行動惡意軟體

一種名為 FireScam 的新發現 Android 威脅已被發現。它偽裝成 Telegram 訊息應用程式的增強版本。這種欺騙性策略使威脅軟體能夠提取敏感的用戶資料並維持對受感染設備的持續遠端存取。

巧妙的偽裝：虛假的 Telegram 高級應用程式

FireScam 以假冒“Telegram Premium”應用程式為幌子進行傳播。它透過 GitHub.io 上託管的網路釣魚網站進行傳播，該網站錯誤地將自己偽裝成 RuStore（俄羅斯著名的應用程式市場）。安全分析師將這種移動威脅描述為複雜且適應性強。安裝後，它會遵循多階段感染過程，從有助於廣泛監視的滴管 APK 開始。

該詐騙網站 rustore-apk.github.io 模仿 RuStore 的介面，旨在誘騙用戶下載名為「GetAppsRu.apk」的滴管 APK 檔案。

Dropper 在 FireScam 攻擊中的作用

安裝後，投放器將充當主要有效負載的傳送機制。此核心元件負責收集敏感資訊（例如訊息、通知和應用程式資料）並將其傳輸到 Firebase 即時資料庫。

為了加強其控制，此植入程式會要求多種權限，其中包括存取外部儲存空間以及在運行版本 8 及更高版本的 Android 裝置上安裝、更新或刪除應用程式的能力。

FireScam 的一個特別令人擔憂的方面是它對 ENFORCE_UPDATE_OWNERSHIP 權限的利用。此 Android 功能允許應用程式的原始安裝程式成為其“更新所有者”，這意味著只有指定的所有者才能啟動更新。透過利用這種機制，FireScam 可以阻止來自其他來源的合法更新，確保其持續存在於受感染的裝置上。

先進的規避和監視功能

FireScam 採用混淆技術來抵抗偵測和分析。它主動監控傳入的通知、螢幕狀態的變化、用戶活動、剪貼簿內容，甚至線上交易。該威脅還能夠從遠端伺服器下載和處理映像，從而為其監視功能增加了另一層。

啟動後，流氓 Telegram Premium 應用程式會要求存取用戶的聯絡人、通話記錄和簡訊的權限。然後，它會顯示一個登入頁面，透過 WebView 鏡像官方 Telegram 網站，嘗試擷取使用者憑證。但是，即使使用者未輸入其登入詳細信息，也會觸發資料收集過程。

維護持久的遠端存取

FireScam 更隱密的功能之一是能夠註冊 Firebase Cloud Messaging (FCM) 通知。這使得威脅能夠接收遠端指令並保持對設備的持續秘密存取。此外，它還與其命令和控制（C2）伺服器建立 WebSocket 連接，以促進資料竊取並執行進一步的不安全操作。

其他有害成分和未解答的問題

研究人員還發現了網路釣魚網域上託管的另一種有害工件，稱為「CDEK」。這個名字可能指的是俄羅斯物流和包裹追蹤服務，表明惡意活動不僅限於 FireScam。

目前尚不清楚誰是這次行動的幕後黑手，也不清楚用戶是如何被引導到這些網路釣魚連結的。潛在的策略可能涉及簡訊網路釣魚（簡訊釣魚）或惡意廣告活動。透過模仿 RuStore 等合法服務，這些欺騙性網站操縱用戶信任，說服個人下載詐騙應用程式。

FireScam 竊取資料和進行監控的能力凸顯了與網路釣魚驅動的分發方法相關的風險。此案例凸顯了保護 Android 用戶免受利用社會工程和對知名平台的信任的威脅所面臨的持續挑戰。