Специалисты компании Cyfirma обнаружили новое вредоносное приложение под названием FireScam, ориентированное на кражу данных пользователей Android-устройств. Оно маскируется под фейковое приложение Telegram Premium и распространяется через поддельную страницу RuStore на GitHub.
Как работает FireScam
FireScam распространяется через APK-дроппер GetAppsRu.apk, который защищён от обнаружения средствами защиты Android. Этот файл запрашивает разрешения для сканирования устройства, доступа к хранилищу и загрузки дополнительных пакетов. Затем он устанавливает основной вредонос Telegram_Premium.apk, который получает доступ к уведомлениям, данным буфера обмена, содержимому SMS и другим данным.
Похищение данных
При первом запуске вредонос отображает фальшивую страницу авторизации Telegram, на которой пользователи вводят свои данные. Эти данные немедленно похищаются и используются для работы с мессенджером. FireScam также устанавливает связь с базой данных Firebase Realtime Database, куда передаётся украденная информация. После фильтрации данные либо удаляются, либо перемещаются в другое место.
Связь с сервером
FireScam устанавливает постоянное соединение с удалённым сервером, что позволяет злоумышленникам удалённо управлять устройством. Они могут запрашивать данные, настраивать параметры слежки и загружать дополнительное вредоносное ПО.
Вредонос отслеживает изменения активности на экране устройства и фиксирует события длительностью более 1000 мс. Он следит за всеми транзакциями, стараясь перехватить конфиденциальные платёжные данные. Всё, что пользователь вводит или копирует в буфер обмена, передаётся на удалённый сервер.
Я также завёл канал в Telegram, там можно удобно отслеживать анонсы новых новостей, если есть желание подписаться, то нажимай сюда 👈