Un nou malware Android numit „FireScam” este distribuit sub forma unei versiuni premium a aplicației Telegram printr-un site de phishing de pe GitHub care imită RuStore, piața de aplicații a Rusiei pentru dispozitive mobile.
RuStore a fost lansat în mai 2022 de grupul internet rus VK (VKontakte) ca alternativă la Google Play și App Store-ul Apple, în urma sancțiunilor occidentale care au afectat accesul utilizatorilor ruși la software-ul mobil.
Găzduiește aplicații conforme cu reglementările rusești și a fost creat cu sprijinul Ministerului rus al Dezvoltării Digitale.
Potrivit cercetătorilor de la compania de gestionare a amenințărilor Cyfirma, pagina GitHub malefică care imită RuStore livrează mai întâi un modul de tip dropper numit GetAppsRu.apk.
APK-ul de tip dropper este obfuscat folosind DexGuard pentru a evita detectarea și obține permisiuni care îi permit să identifice aplicațiile instalate, să aibă acces la stocarea dispozitivului și să instaleze pachete suplimentare.
În continuare, extrage și instalează încărcătura principală a malware-ului, „Telegram Premium.apk”, care solicită permisiuni pentru a monitoriza notificările, datele din clipboard, SMS-urile și serviciile de telefonie, printre altele.
La executare, o fereastră WebView deceptivă arată o pagină de login Telegram și fură credențialele utilizatorului pentru serviciul de mesagerie.
FireScam stabilește o comunicare cu o bază de date Firebase Realtime unde încarcă datele furate în timp real și înregistrează dispozitivul compromis cu identificatori unici, în scopuri de urmărire.
Cyfirma raportează că datele furate sunt stocate doar temporar în baza de date și apoi șterse, presupunând că actorii răufăcători le-au filtrat pentru informații valoroase și le-au copiat într-o altă locație.
Malware-ul deschide, de asemenea, o conexiune WebSocket persistentă cu punctul final Firebase C2 pentru execuție de comenzi în timp real, cum ar fi solicitarea unor date specifice, declanșarea încărcărilor imediate în baza de date Firebase, descărcarea și executarea de încărcături suplimentare sau ajustarea parametrilor de supraveghere.
FireScam poate monitoriza și modificările în activitatea ecranului, capturând evenimente de pornire/oprire și înregistrând aplicația activă în acel moment precum și datele de activitate pentru evenimente care durează mai mult de 1.000 de milisecunde.
Mai mult, malware-ul monitorizează meticulos orice tranzacție de comerț electronic, încercând să captureze date financiare sensibile.
Orice utilizator tastează, trage și plasează, copiază în clipboard și interceptează chiar și date completate automat din gestionare parole sau schimburi între aplicații, sunt categorizate și exfiltrate către actorii răufăcători.
Chiar dacă Cyfirma nu are indicii care să indice operatorii FireScam, cercetătorii spun că malware-ul este o „amenințare sofisticată și multifacetică” care „folosește tehnici avansate de evitare”.
Compania recomandă utilizatorilor să fie prudenți atunci când deschid fișiere de la surse potențial neîncredere sau când dau clic pe linkuri necunoscute.
Leave a Reply