Novi Android malver otkriven u lažnoj aplikaciji ''Telegram Premium''

Mobilni telefoni, 08.01.2025, 10:00 AM

Istraživači kompanije Cyfirma otkrili su FireScam, Android malver prerušen u premijum verziju popularne aplikacije Telegram, „Telegram Premium“, koji krade podatke i održava kontinuiranu daljinsku kontrolu nad zaraženim uređajima.

FireScam je najnoviji primer malvera za krađu informacija koji se predstavlja kao legitimna aplikacija. Koristi taktike društvenog inženjeringa i phishing kako bi kompromitovao uređaje korisnika i ukrao osetljive podatke kao što su podaci za prijavu, finansijske informacije i poruke, što predstavlja značajnu pretnju privatnosti korisnika.

FireScam se prvenstveno širi preko phishing veb sajtova dizajniranih da liče na popularne prodavnice aplikacija. U ovom slučaju, malver je prerušen u aplikaciju „Telegram Premium“ i distribuira se preko phishing veb sajta koji hostuje GitHub.io, koji podseća na RuStore, poznatu rusku prodavnicu aplikacija koja je u vlasništvu ruskog tehnološkog giganta VK. Ova strategija koristi poverenje korisnika u poznate prodavnice aplikacija.

Infekcija uređaja se odvija u više faza, a počinje APK fajlom sa dropperom („GetAppsRu.apk“). Kada se instalira malver vrši opsežan nadzor uređaja.

Kada se instalira na uređaju žrtve, dropper postaje sredstvo za isporuku glavnog malvera. On zahteva dozvole za pregled liste instaliranih aplikacija, pristup spoljnoj memoriji, brisanje i instaliranje aplikacija i ažuriranje bez saglasnosti korisnika. On takođe ograničava ažuriranja aplikacija na zaraženim Android uređajima koji koriste Android 8 i novije verzije, obezbeđujući postojanost na uređaju. Malver sebe određuje kao vlasnika ažuriranja, i na taj način može sprečiti legitimna ažuriranja iz drugih izvora.

FireScam ima brojne zlonamerne funkcije dizajnirane za krađu osetljivih korisničkih podataka i praćenje aktivnosti uređaja. On eksfiltrira osetljive podatke, uključujući obaveštenja, poruke i podatke aplikacija u realnom vremenu i aktivno nadgleda obaveštenja u različitim aplikacijama, hvatajući osetljive informacije i prateći aktivnosti korisnika. Takođe, krade finansijske podatke kao što su stanje na računu i detalji mobilnih transakcija.

Malver aktivno nadgleda clipboard, sadržaj koji se deli između aplikacija i promene stanja ekrana. Takođe može da prati aktivnosti korisnika u aplikacijama za e-trgovinu, uključujući kupovine ili povraćaje sredstava. On prati aktivnost ekrana i prenosi važne događaje na server za komandu i kontrolu koji je pod kontrolom napadača.

FireScam koristi napredne tehnike za izbegavanje detekcije, uključujući i mehanizme za otkrivanje sandboxa.

Lažna aplikacija Telegram Premium, kada se pokrene, traži dozvolu korisnika da pristupi listama kontakata, evidenciji poziva i SMS porukama, nakon čega se preko WebViewa prikazuje stranica za prijavu na legitimni Telegram veb sajt da bi se ukrali akreditivi. Proces prikupljanja podataka se pokreće bez obzira da li se žrtva prijavljuje ili ne.

Njegovo kontinuirano praćenje aktivnosti uređaja omogućava napadačima da iskoriste ponašanje korisnika u zlonamerne svrhe kao što su phishing napadi, krađa identiteta i finansijske prevare. Prisustvo malvera može da ugrozi poverljivost i integritet osetljivih podataka, utičući na pojedince i organizacije, posebno na one koji rukuju osetljivim informacijama.