Użytkownicy Androida muszą zachować szczególną ostrożność – wykryto nowe złośliwe oprogramowanie o nazwie FireScam, które podszywa się pod popularnego komunikatora Telegram. Malware rozprzestrzenia się poprzez fałszywe strony na GitHubie, imitujące rosyjski sklep z aplikacjami RuStore. To kolejny przykład tego, jak cyberprzestępcy wykorzystują zaufanie użytkowników do znanych marek, aby wykradać wrażliwe dane.
Warto zastanowić się, czy Telegram rzeczywiście jest tak prywatnym komunikatorem, za jaki uważają go użytkownicy. Niedawno analizowaliśmy kwestie prywatności Telegrama i związane z tym wątpliwości. Informacje, które ujrzały światło dzienne, są niepokojące, ale skupmy się teraz na tym, jak FireScam podszywa się pod komunikator Telegram.
Mechanizm działania FireScam
Według badaczy z firmy Cyfirma, zajmującej się cyberbezpieczeństwem, złośliwe oprogramowanie działa dwuetapowo. W pierwszej fazie na urządzenie ofiary trafia moduł o nazwie GetAppsRu.apk, który został zabezpieczony przy pomocy narzędzia DexGuard, co utrudnia jego wykrycie przez programy antywirusowe. Ten dropper uzyskuje szereg uprawnień, w tym możliwość identyfikacji zainstalowanych aplikacji, dostęp do pamięci urządzenia oraz instalacji dodatkowych pakietów.
Następnie instalowany jest główny ładunek złośliwego oprogramowania pod nazwą „Telegram Premium.apk”. Ta aplikacja żąda dostępu do powiadomień, schowka, wiadomości SMS oraz usług telefonicznych. Po uruchomieniu wyświetla fałszywą stronę logowania do Telegrama, która służy do przechwycenia danych uwierzytelniających użytkownika.
FireScam wykorzystuje bazę danych Firebase Realtime do przesyłania skradzionych informacji w czasie rzeczywistym. Każde zainfekowane urządzenie otrzymuje unikalny identyfikator, co pozwala przestępcom na śledzenie swoich ofiar. Co ciekawe, wykradzione dane są przechowywane w bazie tylko tymczasowo – prawdopodobnie po ich przefiltrowaniu i skopiowaniu są usuwane.
Zaawansowane możliwości szpiegowskie
FireScam wyróżnia się rozbudowanymi funkcjami monitorowania aktywności użytkownika. Malware utrzymuje stałe połączenie WebSocket z serwerem kontrolnym Firebase, co umożliwia przestępcom zdalne wykonywanie poleceń. Mogą oni żądać konkretnych danych, wymuszać natychmiastowe przesyłanie informacji do bazy, pobierać i uruchamiać dodatkowe komponenty złośliwego oprogramowania czy modyfikować parametry inwigilacji.
Program śledzi również zmiany w aktywności ekranu, rejestrując zdarzenia włączenia/wyłączenia oraz zapisując dane o aktywnych aplikacjach dla zdarzeń trwających dłużej niż sekundę. Szczególną uwagę poświęca transakcjom e-commerce, próbując przechwycić wrażliwe dane finansowe.
Malware rejestruje wszystko, co użytkownik wpisuje, kopiuje do schowka czy przeciąga metodą „przeciągnij i upuść”. Przechwytuje nawet dane automatycznie uzupełniane przez menedżery haseł oraz wymieniane między aplikacjami. Wszystkie te informacje są kategoryzowane i przesyłane do cyberprzestępców.
