Nový malware pro Android s názvem „FireScam“ je distribuován jako prémiová verze aplikace Telegram prostřednictvím phishingových webů na GitHubu, které napodobují RuStore, ruský trh s aplikacemi pro mobilní zařízení.
RuStore byl spuštěn v květnu 2022 ruskou internetovou skupinou VK (VKontakte) jako alternativa k Google Play a Apple App Store, po západních sankcích, které ovlivnily přístup ruských uživatelů k mobilnímu softwaru.
Hostuje aplikace, které jsou v souladu s ruskými předpisy, a byl vytvořen s podporou ruského Ministerstva digitálního rozvoje.
Podle expertů z firmy pro správu hrozeb Cyfirma, škodlivá stránka na GitHubu napodobující RuStore nejprve doručí modul dropper s názvem GetAppsRu.apk. Dropper APK je obfuskován pomocí DexGuard, aby se vyhnul detekci, a získává oprávnění, která mu umožňují identifikovat nainstalované aplikace, přistupovat k úložišti zařízení a instalovat další balíčky.
Následně extrahuje a instaluje „Telegram Premium.apk“, který požaduje oprávnění k monitorování notifikací, dat ve schránce, SMS a telekomunikačních služeb. Po spuštění zobrazí WebView přihlašovací stránku Telegramu, která krade uživatelské přihlašovací údaje ke službě zasílání zpráv.
FireScam navazuje komunikaci s Firebase Realtime Database, kam v reálném čase nahrává ukradená data a registruje kompromitované zařízení s unikátními identifikátory pro účely sledování.
Cyfirma uvádí, že ukradená data jsou v databázi uložena pouze dočasně a poté smazána, pravděpodobně poté, co je útočníci zpracují a zkopírují na jiné místo. Malware také otevírá trvalé spojení WebSocket s Firebase C2 endpointem pro provádění příkazů v reálném čase, jako je požadování specifických dat, okamžité nahrávání do Firebase databáze, stahování a spouštění dalších nákladů nebo úprava parametrů sledování.
FireScam také monitoruje změny v aktivitě obrazovky, zaznamenává události zapnutí/vypnutí a loguje aktivní aplikaci v daném čase, stejně jako data o aktivitě pro události trvající déle než 1 000 milisekund.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
