Российских пользователей предупредили об опасном вирусе для Android, выдающем себя за Telegram Premium
Изображение: Christian Wiediger (unsplash)
Новая вредоносная программа для Android под названием FireScam распространяется под видом премиум-версии приложения Telegram через фишинговые сайты, имитирующие RuStore — российский магазин приложений для мобильных устройств.
По данным исследователей компании по управлению угрозами Cyfirma, вредоносная страница на платформе GitHub, имитирующая RuStore, сначала предоставляет модуль-дроппер под названием GetAppsRu.apk. APK-файл маскируется, чтобы избежать обнаружения, и получает разрешения, которые позволяют ему идентифицировать установленные приложения, предоставлять доступ к хранилищу устройства и устанавливать дополнительные пакеты.
Затем он извлекает и устанавливает основную вредоносную нагрузку «Telegram Premium.apk», которая запрашивает разрешения на мониторинг уведомлений, данных буфера обмена, SMS и телефонных служб, а также многое другое.
После выполнения поддельный экран WebView, отображающий страницу входа в Telegram, крадёт учётные данные пользователя для службы обмена сообщениями.
FireScam устанавливает связь с базой данных Firebase Realtime, куда загружает украденные данные в режиме реального времени и регистрирует взломанное устройство с помощью уникальных идентификаторов для отслеживания.
Эксперты Cyfirma сообщают, что украденные данные хранятся в базе данных только временно, а затем стираются, предположительно после того, как злоумышленники отфильтровали из них ценную информацию и скопировали её в другое место.
Вредоносная программа также открывает постоянное соединение WebSocket с конечной точкой Firebase C2 для выполнения команд в реальном времени: запрос определённых данных, запуск немедленных загрузок в базу данных Firebase, загрузка и выполнение дополнительных полезных нагрузок или настройка параметров наблюдения.
Вредонос FireScam может отслеживать изменения активности экрана, фиксируя события включения/выключения и регистрируя активное приложение в данный момент, а также данные об активности для событий, длящихся более 1000 миллисекунд. Вредоносная программа также отслеживает все транзакции с электронными кошельками, пытаясь захватить конфиденциальные финансовые данные.
Всё, что пользователь вводит, перетаскивает, копирует в буфер обмена и даже данные, автоматически заполняемые менеджерами паролей или обмениваемые между приложениями, классифицируется и передаётся злоумышленникам.
