Нове зловмисне програмне забезпечення для Android під назвою FireScam поширюється як преміальна версія програми Telegram через фішингові вебсайти на GitHub, які імітують RuStore — російський ринок застосунків для мобільних пристроїв. Про це повідомляє Bleeping Computer.
RuStore був запущений у травні 2022 року російською інтернет-групою VK (ВКонтакте) як альтернатива Google Play та Apple App Store після західних санкцій, що вплинули на доступ російських користувачів до мобільного програмного забезпечення.
RuStore розміщує застосунки, які відповідають російським нормам, і створений за підтримки міністерства цифрового розвитку росії.
За словами дослідників із компанії Cyfirma, яка займається керуванням загрозами, шкідлива сторінка GitHub, що імітує RuStore, спочатку доставляє модуль дроппера під назвою GetAppsRu.apk.
Дроппер обфускується за допомогою DexGuard, щоб уникнути виявлення, і отримує дозволи, які дають змогу ідентифікувати встановлені програми, надає йому доступ до пам’яті пристрою і встановлює додаткові пакети.
Далі він витягує і встановлює основне корисне навантаження зловмисного програмного забезпечення Telegram Premium.apk, яке запитує дозволи на моніторинг сповіщень, даних буфера обміну, SMS-повідомлень і послуг телефонії.
Після виконання оманливий екран WebView, який показує сторінку входу в Telegram, викрадає облікові дані користувача для служби обміну повідомленнями.
FireScam установлює зв’язок із базою даних Firebase у реальному часі, куди завантажує викрадені дані в режимі реального часу та реєструє скомпрометований пристрій з унікальними ідентифікаторами з метою відстеження.
Cyfirma повідомляє, що викрадені дані лише тимчасово зберігаються в базі даних, а потім стираються. Ймовірно, після того, як зловмисники відфільтрували їх на наявність цінної інформації та скопіювали в інше місце.
Зловмисне програмне забезпечення також відкриває постійне з’єднання WebSocket із кінцевою точкою Firebase C2 для виконання команд у режимі реального часу, як-от запит певних даних, ініціювання негайного завантаження до бази даних Firebase, завантаження та виконання додаткових корисних навантажень або налаштування параметрів спостереження.
FireScam також може відстежувати зміни в активності екрана, фіксуючи події увімкнення/вимкнення та реєструючи активну програму в той час, а також дані про діяльність для подій, що тривають понад 1000 мілісекунд.
Зловмисне програмне забезпечення ретельно відстежує будь-які транзакції електронної комерції, намагаючись отримати конфіденційні фінансові дані.
Усе, що користувач вводить, перетягує, копіює в буфер обміну та перехоплює, навіть дані, автоматично заповнені з менеджерів паролів або якими обмінюються між програмами, класифікуються та передаються учасникам загрози.
Хоча Cyfirma й не має жодних натяків на роботу операторів FireScam, дослідники кажуть, що зловмисне програмне забезпечення є складною та багатогранною загрозою, яка застосовує передові методи ухилення.
У компанії рекомендують користувачам бути обережними, відкриваючи файли із потенційно ненадійних джерел або натискаючи незнайомі посилання.
Читайте також на ProIT, що робити, якщо зламали Telegram.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
