Wprowadzenie

Najnowsze badania firmy cyberbezpieczeństwa Cyfirma ujawniają przerażające szczegóły dotyczące szkodliwego oprogramowania FireScam, które podszywa się pod płatną wersję popularnego komunikatora Telegram. Złośliwy program rozprzestrzenia się za pośrednictwem fałszywej strony internetowej, która udaje rosyjski sklep z aplikacjami RuStore, hostowanej na platformie GitHub.io.

Mechanizm działania FireScam

Specjaliści określają FireScam jako zaawansowane zagrożenie wykorzystujące wieloetapowy proces infekcji. Pierwszym krokiem jest zainstalowanie tzw. droppera, mającego na celu pobranie i uruchomienie głównego ładunku złośliwego oprogramowania. Strona rustore-apk.github[.]io imituje interfejs RuStore, dostarczając użytkownikom plik GetAppsRu.apk, który zawiera szkodliwy kod.

Uprawnienia i kontrola

Po zainstalowaniu FireScam, złośliwe oprogramowanie przejmuje kontrolę nad urządzeniem, żądając szerokich uprawnień, takich jak dostęp do pamięci zewnętrznej czy możliwość instalacji i usuwania aplikacji na urządzeniach z Androidem w wersji 8 i nowszych. Kluczowym elementem zagrożenia jest mechanizm ENFORCE_UPDATE_OWNERSHIP, który ogranicza możliwości aktualizacji aplikacji tylko do właściciela. To oznacza, że cyberprzestępcy mogą przejmować kontrolę nad procesem aktualizacji i utrzymywać swoje oprogramowanie na zainfekowanych urządzeniach.

Funkcje szpiegowskie FireScam

FireScam dysponuje również rozwiniętymi funkcjami szpiegowskimi. Program może monitorować powiadomienia przychodzące, transakcje e-commerce oraz aktywność użytkownika, a także zbierać dane z określonych adresów URL. Co gorsza, fałszywa aplikacja Telegram Premium może próbować uzyskać dostęp do listy kontaktów i historii połączeń, a następnie wyświetlić stronę logowania do rzeczywistego serwisu Telegram w oknie WebView, aby przechwycić dane logowania.

Wykorzystanie Firebase Cloud Messaging

Złośliwe oprogramowanie korzysta również z usług Firebase Cloud Messaging (FCM), co pozwala mu na zdalne wykonywanie poleceń i utrzymywanie nieautoryzowanego dostępu do urządzenia. Ponadto, odkryto, że na tej samej domenie phishingowej znajdowało się inne złośliwe oprogramowanie, CDEK, sugerujące związki z rosyjską firmą kurierską.

Podsumowanie

Eksperci podkreślają, że przypadek FireScam ilustruje, jak cyberprzestępcy wykorzystują zaufanie użytkowników do popularnych platform. Podszywając się pod legalne sklepy z aplikacjami, skutecznie nakłaniają ofiary do pobierania i instalowania fałszywych aplikacji. Infekcja złośliwym oprogramowaniem na smartfonie może prowadzić do poważnych konsekwencji finansowych, w tym utraty pieniędzy poprzez przejęcie haseł do bankowości internetowej oraz monitorowanie transakcji.

Zachowania ostrożności

Raporty sugerują, że liczba ataków na urządzenia mobilne rośnie, co podkreśla konieczność stosowania odpowiednich środków ochrony, takich jak regularne aktualizacje oprogramowania, instalowanie aplikacji tylko z zaufanych źródeł oraz korzystanie z programów antywirusowych. Zachowaj czujność – twoje pieniądze mogą być zagrożone!