Új FireScam Android malware: adatlopás a Telegram Premium alkalmazásként álcázva

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

2025 januárjában a Cyfirma biztonsági kutatói egy új, FireScam nevű Android malware-t azonosítottak, amely a Telegram prémium verziójaként álcázva terjed, főként hamis GitHub oldalakon keresztül, amelyek a RuStore, az orosz mobilalkalmazás-piacot utánozzák. A RuStore-t 2022 májusában indította az orosz VK (VKontakte) internetcsoport a Google Play és az Apple App Store alternatívájaként, válaszul a nyugati szankciókra. Az áruház olyan alkalmazásokat kínál, amelyek megfelelnek az orosz szabályozásoknak, és az orosz Digitális Fejlesztési Minisztérium támogatását is élvezik.

A FireScam malware terjedésének főbb lépései:

  1. Hamis RuStore oldal
    A támadók egy GitHub.io doménen hamis RuStore oldalt hoztak létre, amely a GetAppsRu.apk nevű dropper modult kínálja letöltésre.

  2. Obfuszkáció DexGuard segítségével
    A dropper APK-t DexGuard használatával rejtegetik, hogy elkerüljék a biztonsági rendszerek észlelését. Ez a modul jogosultságokat szerez az eszköz tárolóinak elérésére, telepített alkalmazások azonosítására és további csomagok telepítésére.

  3. Telegram Premium álcázott malware
    A dropper telepíti a fő malware-t, a Telegram Premium.apk-t, amely széles körű jogosultságokat igényel, például értesítések figyelésére, SMS-ek és telefonhívások megfigyelésére, valamint a vágólap adatainak elérésére.

  4. Adatlopás és valós idejű kommunikáció

    • Egy hamis WebView képernyőn keresztül a malware ellopja a felhasználók Telegram bejelentkezési adatait.
    • A lopott adatokat valós időben tölti fel egy Firebase Realtime Database-re.
    • Valós idejű parancsvégrehajtásra WebSocket kapcsolaton keresztül kommunikál a Firebase C2-vel, például adatok feltöltésére, további payloadok letöltésére vagy megfigyelési paraméterek módosítására.

  5. Pénzügyi adatok megfigyelése
    A malware különösen figyeli az e-kereskedelmi tranzakciókat, érzékeny pénzügyi adatokat próbálva megszerezni. Minden begépelt, másolt vagy vágólapra helyezett adatot rögzít és rendszerezve továbbít a támadóknak.

A FireScam a kutatók szerint egy összetett és sokoldalú fenyegetés, amely fejlett rejtőzködési technikákat alkalmaz. Bár a támadók személyazonosságát még nem sikerült megállapítani, a malware célzottan gyűjti az értékes adatokat, amelyek rövid ideig a Firebase adatbázisban maradnak, mielőtt más helyre továbbítanák azokat.

Hogyan védekezhet?

A Cyfirma biztonsági szakértői az alábbiakat javasolják:

  • Kerülje az ismeretlen forrásból származó fájlok megnyitását.
  • Ne kattintson gyanús linkekre, különösen, ha azok kevésbé ismert weboldalakról származnak.
  • Ellenőrizze az alkalmazások hivatalos forrásait.
  • Használjon megbízható mobilbiztonsági megoldásokat.

A FireScam példája rámutat arra, hogy az Android rendszer nyitottsága egyben sebezhetőséget is jelenthet, ha a felhasználók nem körültekintőek.

(forrás)