Истражувачите на Cyfirma открија FireScam, малициозен софтвер за Android преправен како премиум верзија на популарната апликација Telegram – „Telegram Premium“, која краде податоци и одржува континуирана далечинска контрола над заразените уреди.
FireScam е најновиот пример на малициозен софтвер за крадење информации што се маскира како легитимна апликација. Користи тактики за социјален инженеринг и фишинг за да ги компромитира уредите на корисниците и да ги украде чувствителните податоци како што се ингеренциите за најавување, финансиските информации и пораките, што претставува значителна закана за приватноста на корисниците.
FireScam првенствено се шири преку фишинг веб-страни дизајнирани да изгледаат како популарни продавници за апликации. Во овој случај, малициозниот софтвер е маскиран како апликација „Telegram Premium“ и се дистрибуира преку веб-страна хостирана од GitHub.io, која наликува на RuStore, добро позната руска продавница за апликации во сопственост на рускиот технолошки гигант VK. Оваа стратегија ја зголемува довербата на корисниците во добро познатите продавници за апликации.
Инфекцијата на уредот се одвива во неколку фази, почнувајќи со APK-датотека со „дропер“ („GetAppsRu.apk“). Кога е инсталиран малициозен софтвер, тој врши опширно следење на уредот.
Откако ќе се инсталира на уредот на жртвата, „дропер“ станува „возило“ за испорака на главниот малициозен софтвер. Потребни се дозволи за прегледување на списокот со инсталирани апликации, пристап до надворешна меморија, бришење и инсталирање апликации и ажурирање без согласност од корисникот. Исто така, ги ограничува ажурирањата на апликациите на заразените уреди со Android што работат со Android 8 и погоре, обезбедувајќи упорност на уредот. Злонамерниот софтвер се назначува себеси како сопственик на ажурирањето и на тој начин може да спречи легитимни ажурирања од други извори.
FireScam има бројни малициозни функции дизајнирани да украдат чувствителни кориснички податоци и да ја следат активноста на уредот. Ги ексфилтрира чувствителните податоци, вклучувајќи известувања, пораки и податоци од апликации во реално време, и активно ги следи известувањата во различни апликации, снима чувствителни информации и ја следи активноста на корисникот. Исто така, краде финансиски податоци како што се салда на сметки и детали за трансакции преку мобилни телефони.
Злонамерниот софтвер активно ја следи таблата со исечоци, содржината што се споделува помеѓу апликациите и промените на состојбата на екранот. Исто така, може да ја следи активноста на корисниците во апликациите за е-трговија, вклучително и купување или рефундирање. Ја следи активноста на екранот и пренесува важни настани на серверот за команди и контрола контролиран од напаѓачот.
FireScam користи напредни техники за да избегне откривање, вклучително и механизми за откривање на „сенбокс“.
Лажната апликација Telegram Premium, кога е стартувана, бара дозвола од корисникот за пристап до листите со контакти, дневници на повици и СМС пораки, по што се прикажува страница за најавување на легитимната веб-страница на Telegram преку WebView за да се украдат ингеренциите. Процесот на собирање податоци се започнува без разлика дали жртвата пријавила или не.
Неговото континуирано следење на активноста на уредот им овозможува на напаѓачите да го искористат однесувањето на корисниците за злонамерни цели, како што се фишинг напади, кражба на идентитет и финансиска измама. Присуството на малициозен софтвер може да ја загрози доверливоста и интегритетот на чувствителните податоци, влијаејќи на поединци и организации, особено на оние кои ракуваат со чувствителни информации.