FireScam Malware Wykorzystuje Aplikację Telegram Premium do Kradzieży Danych Użytkowników

Nowy szczep złośliwego oprogramowania dla Androida, o nazwie FireScam, atakuje użytkowników udając aplikację Telegram Premium, jak pierwsi poinformowali eksperci ds. cyberbezpieczeństwa z CYFIRMA.

Za pomocą strony phishingowej, zaprojektowanej tak, aby naśladować RuStore, popularny sklep z aplikacjami w Rosji, złośliwe oprogramowanie wykorzystuje zaawansowane techniki, aby przeniknąć do urządzeń, kraść wrażliwe dane i unikać wykrycia.

The Hacker News donosi informacje, że nadal nie jest jasne, kim są operatorzy, jak użytkownicy są kierowani do tych linków, czy zaangażowane są techniki phishingu przez SMS czy malvertisingu.

Badacze zauważają, że FireScam jest dystrybuowany za pośrednictwem strony phishingowej hostowanej na GitHub.io, która naśladuje RuStore, zwodząc użytkowników do pobrania złośliwego pliku APK. Fałszywa aplikacja obiecuje funkcje Telegram Premium, ale zamiast tego uruchamia proces infekcji na wiele etapów.

Zaczyna się od kroplówki APK, która pobiera i instaluje złośliwe oprogramowanie FireScam, maskując je jako legitimną aplikację. Po zainstalowaniu, FireScam prowadzi intensywną inwigilację na zainfekowanym urządzeniu.

Przechwytuje ono wrażliwe dane, takie jak powiadomienia, wiadomości i aktywność schowka. Złośliwe oprogramowanie monitoruje nawet interakcje z urządzeniem, w tym zmiany stanu ekranu i transakcje e-commerce, dostarczając atakującym cenne informacje o zachowaniu użytkownika.

FireScam opiera się na Firebase Realtime Database jako części swojego systemu dowodzenia i kontroli, który jest niezbędny do zarządzania jego szkodliwymi działaniami. Ta baza danych działa jako miejsce przechowywania informacji, które malware kradnie z zainfekowanych urządzeń.

Gdy dane są przesyłane, napastnicy przeszukują je, aby zidentyfikować cenne elementy, takie jak wrażliwe dane osobowe lub informacje finansowe. Dowolne dane uznane za niepotrzebne są usuwane, aby uniknąć wzbudzania podejrzeń.

W przypadku FireScam, korzystanie z Firebase – legalnej i powszechnie używanej usługi – pomaga malware’u wmieszać się w tło, utrudniając narzędziom bezpieczeństwa wykrywanie i blokowanie jego działań. Firebase jest także wykorzystywany do dostarczania dodatkowych złośliwych ładunków, co pozwala napastnikom na utrzymanie trwałej kontroli nad skompromitowanymi urządzeniami.

Malware stosuje techniki zaciemniania, aby ukryć swoje zamiary i uniknąć wykrycia przez narzędzia bezpieczeństwa. Przeprowadza również kontrole środowiska, aby zidentyfikować, czy działa w środowisku analizy czy wirtualizacji, co dodatkowo komplikuje starania o śledzenie jego działań.

Wykorzystując popularność powszechnie używanych aplikacji, takich jak Telegram, oraz legalnych usług, takich jak Firebase, FireScam podkreśla zaawansowane taktyki stosowane przez nowoczesnych sprawców zagrożeń. Zdolność malware’u do kradzieży wrażliwych informacji i utrzymania dyskrecji stanowi znaczne ryzyko zarówno dla pojedynczych użytkowników, jak i organizacji.

Information Security Buzz (ISB) informuje, że Eric Schwake, Dyrektor Strategii Cyberbezpieczeństwa w Salt Security, podkreśla rosnącą sofistykę malware’u na Androida, na przykładzie FireScam.

„Chociaż wykorzystywanie stron phishingowych do rozpowszechniania złośliwego oprogramowania nie jest nową taktyką, konkretny sposób działania FireScam – takie jak udawanie aplikacji Telegram Premium i wykorzystywanie sklepu z aplikacjami RuStore – pokazuje, jak atakujący rozwijają swoje techniki, aby wprowadzić w błąd i skompromitować niczego nie podejrzewających użytkowników,” powiedziała Schwake według Dark Reading.

ISB informuje, że Schwake podkreśla potrzebę solidnego zabezpieczenia API, ponieważ skompromitowane urządzenia mogą uzyskać dostęp do wrażliwych danych za pośrednictwem API mobilnych aplikacji. Mocna autentykacja, szyfrowanie i ciągłe monitorowanie są niezbędne, aby zminimalizować te ryzyka.

Aby przeciwdziałać FireScam, badacze z CYFIRMA sugerują wykorzystanie wywiadu dotyczącego zagrożeń, solidnego zabezpieczenia punktów końcowych oraz monitoringu opartego na zachowaniu. Proponują również korzystanie z zapor ogniowych do blokowania szkodliwych domen oraz białej listy aplikacji, aby zapobiec nieautoryzowanym plikom wykonywalnym.