Мошенническое ПО FireScam использует премиум-приложение Telegram для кражи пользовательских данных

Новый штамм вредоносного ПО для Android, получивший название FireScam, атакует пользователей, выдавая себя за премиум-приложение Telegram, как впервые сообщили эксперты по кибербезопасности из CYFIRMA.

С помощью фишингового сайта, имитирующего RuStore, популярный магазин приложений в России, вредоносное ПО использует сложные техники для проникновения в устройства, кражи конфиденциальных данных и обхода систем обнаружения.

The Hacker News сообщает, что до сих пор неясно, кто является операторами, как пользователи направляются по этим ссылкам, или используются ли техники SMS-фишинга или малвертайзинга.

Исследователи отмечают, что FireScam распространяется через фишинговый сайт, размещенный на GitHub.io, который имитирует RuStore, обманывая пользователей и заставляя их скачать вредоносный APK. Поддельное приложение обещает функции Telegram Premium, но вместо этого запускает многоступенчатый процесс заражения.

Все начинается с загрузчика APK, который загружает и устанавливает вредоносное ПО FireScam, маскируя его под легитимное приложение. После установки FireScam проводит обширное слежение за зараженным устройством.

Он перехватывает конфиденциальные данные, такие как уведомления, сообщения и активность буфера обмена. Этот вредоносный программный код даже отслеживает взаимодействие с устройством, включая изменения состояния экрана и транзакции в электронной коммерции, что дает злоумышленникам ценную информацию о поведении пользователя.

FireScam использует Firebase Realtime Database в качестве части своей системы командного управления, которая необходима для управления его вредоносной деятельностью. Эта база данных служит хранилищем для информации, которую вредоносное ПО крадет с зараженных устройств.

Как только данные загружены, злоумышленники просеивают их, чтобы выявить ценные элементы, такие как чувствительные персональные данные или финансовую информацию. Любые данные, считающиеся ненужными, удаляются, чтобы избежать вызывания подозрений.

В случае с FireScam, использование Firebase — законного и широко используемого сервиса — помогает вредоносному программному обеспечению «замаскироваться», что усложняет его обнаружение и блокировку средствами безопасности. Firebase также используется для доставки дополнительных вредоносных нагрузок, позволяя злоумышленникам сохранять постоянный контроль над пораженными устройствами.

Вредоносное ПО использует обфускацию для скрытия своих намерений и уклонения от обнаружения средствами безопасности. Оно также выполняет проверки среды, чтобы определить, работает ли оно в аналитической или виртуализированной среде, что еще больше усложняет попытки отследить его действия.

Используя популярность широко используемых приложений, таких как Telegram, и легитимных сервисов, таких как Firebase, FireScam демонстрирует передовые тактики, которые используют современные угрозы. Способность вредоносного ПО крадать конфиденциальную информацию и оставаться незамеченным представляет существенный риск как для отдельных пользователей, так и для организаций.

Information Security Buzz (ISB) сообщает, что Эрик Шваке, директор по стратегии кибербезопасности в компании Salt Security, подчеркивает растущую сложность вредоносного ПО для Android, которую иллюстрирует FireScam.

«Хотя использование фишинговых сайтов для распространения вредоносного ПО не является новой тактикой, специфические методы FireScam, такие как маскировка под приложение Telegram Premium и использование магазина приложений RuStore, иллюстрируют эволюцию методов злоумышленников, направленных на обман и компрометацию ничего не подозревающих пользователей», — сказала Шваке по данным Dark Reading.

ISB сообщает, что Шваке подчеркивает необходимость надежной безопасности API, поскольку скомпрометированные устройства могут получить доступ к конфиденциальным данным через мобильные API приложений. Сильная аутентификация, шифрование и непрерывное мониторинг являются важными для снижения этих рисков.

Чтобы противостоять FireScam, исследователи из CYFIRMA предлагают использовать разведку угроз, надежную конечную защиту и мониторинг на основе поведения. Они также советуют использовать брандмауэры для блокировки вредоносных доменов и белые списки приложений для предотвращения запуска неавторизованных исполняемых файлов.