Firma Cyfirma, zajmująca się cyberbezpieczeństwem, ujawnila nowe złośliwe oprogramowanie o nazwie FireScam, które podszywa się pod premium wersję komunikatora Telegram. To niebezpieczne oprogramowanie jest dystrybuowane za pośrednictwem fałszywej strony internetowej hostowanej na platformie GitHub.io, która udaje popularny rosyjski sklep z aplikacjami RuStore.

Eksperci wskazują, że FireScam to zaawansowane zagrożenie, które wykorzystuje wieloetapowy proces infekcji. Złośliwe oprogramowanie zaczyna swoje działanie od instalacji tzw. droppera, czyli programu pobierającego i uruchamiającego główny ładunek. Fałszywa strona rustore-apk.github[.]io imituje interfejs rosyjskiego sklepu z aplikacjami RuStore i dostarcza plik GetAppsRu.apk, zawierający niebezpieczny kod.

Po zainstalowaniu FireScam żąda rozległych uprawnień do urządzenia, takich jak zapis w pamięci zewnętrznej oraz instalowanie i usuwanie aplikacji na zainfekowanych urządzeniach z Androidem w wersji 8 i nowszej. Co ciekawe, złośliwe oprogramowanie wykorzystuje mechanizm ENFORCE_UPDATE_OWNERSHIP, który ogranicza możliwość aktualizacji aplikacji tylko do właściciela, co pozwala mu na przejęcie kontroli nad procesem aktualizacji.

FireScam nie tylko kradnie dane, ale także wyszukuje powiadomienia, śledzi zmiany stanu ekranu, zbiera informacje o transakcjach e-commerce, a także monitoruje zawartość schowka. Po uruchomieniu aplikacji w wersji Premium, podejmuje próbę uzyskania dostępu do listy kontaktów oraz historii połączeń i wiadomości SMS. Strona logowania do prawdziwego Telegramu pojawia się w WebView, co umożliwia przestępcom przechwycenie danych logowania, niezależnie od tego, czy użytkownik zaloguje się, czy nie.

Dodatkowo, FireScam wykorzystuje usługi Firebase Cloud Messaging (FCM), aby otrzymywać polecenia zdalne oraz nawiązywać połączenie z serwerem command-and-control (C2), co umożliwia eksfiltrację danych. Na tym samym phishingowym adresie internetowym odkryto również inny złośliwy program o nazwie CDEK, co może sugerować powiązania z rosyjską firmą kurierską.

Niebezpieczeństwa związane z każdym pobraniem aplikacji są ogromne! Cyberprzestępcy mogą przechwycić dane logowania do kont bankowych, co prowadzi do nieautoryzowanych transakcji i kradzieży środków finansowych. W miarę rosnącej liczby ataków na urządzenia mobilne, stosowanie odpowiednich środków ochrony stało się kluczowe. Zaleca się regularne aktualizacje oprogramowania, korzystanie tylko z zaufanych źródeł do pobierania aplikacji oraz zastosowanie programów antywirusowych, aby zminimalizować ryzyko infekcji.

Pamiętaj, aby być czujnym i świadomym zagrożeń w sieci! Twoje pieniądze są w niebezpieczeństwie, jeśli nie zachowasz ostrożności!