Нове шпигунське програмне забезпечення FireScam Infostealer потрапляє на Android через Fake Telegram Premium

РЕЗЮМЕ

• Шкідливе програмне забезпечення FireScam: FireScam маскується під додаток «Telegram Premium» для націлювання на користувачів Android через фішингові веб-сайти, що імітують надійні магазини програм.

• Шкідливі можливості: Він викрадає конфіденційні дані, відстежує додатки, відстежує активність пристрою та забезпечує постійність завдяки розширеним дозволам.

• Техніки ухилення: FireScam використовує обфускацію, обмежений доступ і виявлення пісочниці, щоб обійти традиційні заходи безпеки.

• Методи експлуатації: Тактики соціальної інженерії та фішингу використовують довіру користувачів, що призводить до крадіжки особистих даних і фінансового шахрайства.

• Рекомендації щодо захисту: Експерти радять використовувати антивірусне програмне забезпечення, виконувати регулярні оновлення та стежити за поведінкою додатків для підвищення безпеки мобільних пристроїв.

Швидке впровадження мобільних додатків надає зловмисникам цінну можливість використовувати невинних користувачів, враховуючи зростаючу кількість інцидентів, пов’язаних із впровадженням шкідливих програм у ці додатки, зауважили дослідники кібербезпеки Cyfirma.

Згідно з їхнім дослідженням, яким поділилися з Hackread.com, FireScam є останнім прикладом зловмисного програмного забезпечення для крадіжки інформації, замаскованого як законна програма для націлювання на пристрої Android. Він використовує тактику соціальної інженерії та методи фішингу, щоб компрометувати пристрої користувачів і викрадати конфіденційні дані, як-от облікові дані для входу, фінансову інформацію та особисті повідомлення, створюючи значну загрозу конфіденційності користувачів, зазначили дослідники в повідомленні в блозі.

FireScam в основному поширюється через фішингові веб-сайти, створені для імітації популярних магазинів програм. У цьому випадку зловмисне програмне забезпечення маскується під програму «Telegram Premium» і поширюється через фішинговий веб-сайт, розміщений на GitHub.io, схожий на RuStore, відомий магазин додатків у Російській Федерації. Ця оманлива стратегія використовує довіру користувачів до визнаних магазинів додатків, спонукаючи їх завантажити шкідливий файл APK.

Дроппер, встановлений на пристрої жертви, надає дозволи на запит і список встановлених програм, доступ до зовнішньої пам’яті, видалення та встановлення програм і оновлення без згоди користувача. Він оголошує себе призначеним власником і обмежує оновлення програм, не дозволяючи іншим інсталяторам оновлювати її та забезпечуючи постійність пристрою.

FireScam володіє великою кількістю шкідливих функціональних можливостей, призначених для викрадення конфіденційних даних користувача та моніторингу дій пристрою. Він передає конфіденційні дані, зокрема сповіщення, повідомлення та дані додатків, до кінцевої точки Firebase Realtime Database і активно відстежує сповіщення в різних додатках, збираючи конфіденційну інформацію та відстежуючи дії користувачів. Крім того, він перехоплює відповіді USSD, компрометуючи фінансові дані, як-от баланси рахунків і деталі мобільних транзакцій.

Зловмисне програмне забезпечення активно стежить за буфером обміну, вмістом, який поширюється між програмами, і змінами стану пристрою. Він також може відстежувати дії користувачів у програмах електронної комерції, включаючи покупки або відшкодування, і в першу чергу націлений на програми обміну повідомленнями, захоплюючи вміст і пересилаючи його на віддалені сервери. Він відстежує активність екрана та завантажує важливі події на свій сервер керування.

Що стосується ухилення, FireScam використовує вдосконалені методи обфускації, контроль обмеженого доступу для динамічних приймачів і механізми виявлення пісочниці, щоб уникнути виявлення. Він також може отримувати та виконувати команди через сповіщення Firebase Cloud Messaging для дистанційного керування.

Постійний моніторинг активності пристрою дозволяє зловмисникам використовувати поведінку користувачів у зловмисних цілях, таких як фішингові атаки, крадіжка особистих даних і фінансове шахрайство. Присутність зловмисного програмного забезпечення може поставити під загрозу конфіденційність і цілісність конфіденційних даних, впливаючи на окремих осіб і організації, особливо на ті, хто обробляє конфіденційну інформацію. Це підкреслює необхідність використання надійного антивірусного програмного забезпечення, регулярного оновлення програмного забезпечення та пильності в Інтернеті.

Стівен Ковскі, технічний директор SlashNext Email Security+, сказав Hackread.com, «Кіберзлочинці використовують надійні бренди, як-от преміум-ім’я Telegram. Стійкість FireScam залежить від маніпулювання дозволами та Firebase Cloud Messaging. Розширене виявлення мобільних загроз, сканування додатків у реальному часі та безперервний моніторинг є критично важливими для протидії таким складним атакам, які використовують довіру користувачів і законні канали.«

ПОВ’ЯЗАНІ ТЕМИ

1. Шпигунське програмне забезпечення DroidBot Android, націлене на банківські, криптокористувачів
2. Зловмисне програмне забезпечення Android Ajina.Banker краде коди 2FA через Telegram
3. GSMS Stealer вражає користувачів Android через шкідливі програми та рекламу
4. 8 додатків у Google Play Store містять троян Android/FakeApp
5. Зловмисне програмне забезпечення Octo2 використовує підроблений додаток NordVPN для зараження пристроїв Android