Ένα νέο κακόβουλο λογισμικό Android με το όνομα «FireScam» διανέμεται ως premium έκδοση της εφαρμογής Telegram μέσω ιστότοπων phishing στο GitHub που μιμούνται το RuStore, την αγορά εφαρμογών της Ρωσίας για κινητές συσκευές.
Το RuStore κυκλοφόρησε τον Μάιο του 2022 από τον ρωσικό όμιλο διαδικτύου VK (VKontakte) ως εναλλακτική λύση στο Google Play και το App Store της Apple, μετά από κυρώσεις της Δύσης που επηρέασαν την πρόσβαση των Ρώσων χρηστών σε λογισμικό κινητής τηλεφωνίας.
Φιλοξενεί εφαρμογές που συμμορφώνονται με τους ρωσικούς κανονισμούς και δημιουργήθηκε με την υποστήριξη του Ρωσικού Υπουργείου Ψηφιακής Ανάπτυξης.
Σύμφωνα με ερευνητές της εταιρείας διαχείρισης απειλών Cyfirma, η κακόβουλη σελίδα GitHub που μιμείται το RuStore παρέχει πρώτα μια μονάδα dropper που ονομάζεται GetAppsRu.apk.
Το σταγονόμετρο APK συγκαλύπτεται χρησιμοποιώντας το DexGuard για να αποφύγει τον εντοπισμό και αποκτά δικαιώματα που του επιτρέπουν να αναγνωρίζει τις εγκατεστημένες εφαρμογές, να του δίνει πρόσβαση στον χώρο αποθήκευσης της συσκευής και να εγκαταστήσει πρόσθετα πακέτα.
Στη συνέχεια, εξάγει και εγκαθιστά το κύριο ωφέλιμο φορτίο κακόβουλου λογισμικού, το «Telegram Premium.apk», το οποίο ζητά δικαιώματα για την παρακολούθηση ειδοποιήσεων, δεδομένων προχείρου, SMS και υπηρεσιών τηλεφωνίας, μεταξύ άλλων.
Πηγή: CYFIRMA
Δυνατότητες FireScam
Κατά την εκτέλεση, μια παραπλανητική οθόνη WebView που δείχνει μια σελίδα σύνδεσης στο Telegram κλέβει τα διαπιστευτήρια του χρήστη για την υπηρεσία ανταλλαγής μηνυμάτων.
Το FireScam δημιουργεί επικοινωνία με μια βάση δεδομένων Firebase σε πραγματικό χρόνο όπου ανεβάζει κλεμμένα δεδομένα σε πραγματικό χρόνο και καταχωρεί τη συσκευή που έχει παραβιαστεί με μοναδικά αναγνωριστικά, για σκοπούς παρακολούθησης.
Cyfirma εκθέσεις ότι τα κλεμμένα δεδομένα αποθηκεύονται στη βάση δεδομένων μόνο προσωρινά και στη συνέχεια σβήνονται, πιθανώς αφού οι φορείς της απειλής τα φιλτράρουν για πολύτιμες πληροφορίες και τα αντέγραψαν σε διαφορετική τοποθεσία.
Το κακόβουλο λογισμικό ανοίγει επίσης μια μόνιμη σύνδεση WebSocket με το τελικό σημείο Firebase C2 για εκτέλεση εντολών σε πραγματικό χρόνο, όπως αίτημα για συγκεκριμένα δεδομένα, ενεργοποίηση άμεσων μεταφορτώσεων στη βάση δεδομένων Firebase, λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων ή προσαρμογή των παραμέτρων επιτήρησης.
Το FireScam μπορεί επίσης να παρακολουθεί αλλαγές στη δραστηριότητα της οθόνης, να καταγράφει συμβάντα ενεργοποίησης/απενεργοποίησης και να καταγράφει την ενεργή εφαρμογή εκείνη τη στιγμή, καθώς και δεδομένα δραστηριότητας για συμβάντα που διαρκούν περισσότερο από 1.000 χιλιοστά του δευτερολέπτου.
Το κακόβουλο λογισμικό παρακολουθεί επίσης σχολαστικά τυχόν συναλλαγές ηλεκτρονικού εμπορίου, επιχειρώντας να συλλάβει ευαίσθητα οικονομικά δεδομένα.
Οτιδήποτε πληκτρολογεί ο χρήστης, μεταφέρει και αποθέτει, αντιγράφει στο πρόχειρο και παρεμποδίζει ακόμη και δεδομένα που συμπληρώνονται αυτόματα από διαχειριστές κωδικών πρόσβασης ή ανταλλάσσονται μεταξύ εφαρμογών, κατηγοριοποιούνται και διοχετεύονται στους παράγοντες απειλών.
Πηγή: CYFIRMA
Αν και η Cyfirma δεν έχει υποδείξεις που να δείχνουν τους χειριστές του FireScam, οι ερευνητές λένε ότι το κακόβουλο λογισμικό είναι μια “σύνθετη και πολύπλευρη απειλή” που “χρησιμοποιεί προηγμένες τεχνικές φοροδιαφυγής”.
Η εταιρεία συνιστά στους χρήστες να είναι προσεκτικοί όταν ανοίγουν αρχεία από πιθανώς μη αξιόπιστες πηγές ή όταν κάνουν κλικ σε άγνωστους συνδέσμους.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
