Nowy sposób, by kraść pieniądze. Atak na popularny komunikator

Firma cyberbezpieczeństwa Cyfirma wykryła nowe złośliwe oprogramowanie FireScam, które podszywa się pod premium wersję komunikatora Telegram. Program dystrybuowany jest poprzez fałszywą stronę internetową hostowaną na platformie GitHub.io, która imituje popularny w Rosji sklep z aplikacjami RuStore.

Specjaliści ds. bezpieczeństwa określają FireScam jako zaawansowane zagrożenie wykorzystujące wieloetapowy proces infekcji. Złośliwe oprogramowanie rozpoczyna działanie od instalacji tzw. droppera, czyli programu odpowiedzialnego za pobranie i uruchomienie głównego ładunku. Fałszywa strona rustore-apk.github[.]io naśladuje interfejs rosyjskiego sklepu z aplikacjami RuStore należącego do firmy VK i dostarcza użytkownikom plik GetAppsRu.apk zawierający złośliwy kod.

Po zainstalowaniu, malware wykonuje szereg operacji mających na celu przejęcie kontroli nad urządzeniem. Program żąda rozległych uprawnień, w tym możliwości zapisu w pamięci zewnętrznej oraz instalowania, aktualizowania i usuwania aplikacji na zainfekowanych urządzeniach z Androidem w wersji 8 i nowszych.

Szczególnie niebezpiecznym elementem jest wykorzystanie mechanizmu ENFORCE_UPDATE_OWNERSHIP. Cyfirma wyjaśnia, że "mechanizm ten ogranicza możliwość aktualizacji aplikacji wyłącznie do właściciela aplikacji. Instalator początkowy może zadeklarować się jako właściciel aktualizacji, tym samym przejmując kontrolę nad procesem aktualizacji". System wymaga zatwierdzenia przez użytkownika prób aktualizacji przez inne instalatory, co złośliwe oprogramowanie wykorzystuje do utrzymania swojej obecności na urządzeniu.

FireScam wykorzystuje różnorodne techniki maskowania i przeciwdziałania analizie, aby uniknąć wykrycia. Program monitoruje powiadomienia przychodzące na urządzenie, zmiany stanu ekranu, transakcje e-commerce, zawartość schowka oraz aktywność użytkownika. Posiada również możliwość pobierania i przetwarzania danych obrazów z określonych adresów URL.

Po uruchomieniu fałszywa aplikacja Telegram Premium próbuje uzyskać dostęp do listy kontaktów, historii połączeń i wiadomości SMS. Następnie wyświetla stronę logowania do prawdziwego serwisu Telegram w komponencie WebView, aby przechwycić dane uwierzytelniające. Co istotne, zbieranie danych rozpoczyna się niezależnie od tego, czy użytkownik zaloguje się do serwisu, czy nie.

Program wykorzystuje również usługę Firebase Cloud Messaging (FCM) do otrzymywania zdalnych poleceń i utrzymywania ukrytego dostępu do urządzenia. Jednocześnie nawiązuje połączenie WebSocket z serwerem command-and-control (C2) w celu eksfiltracji danych i wykonywania dodatkowych działań.

Cyfirma odkryła, że na tej samej domenie phishingowej znajdował się również inny złośliwy program o nazwie CDEK, prawdopodobnie nawiązujący do rosyjskiej firmy kurierskiej. Analitykom nie udało się jednak pozyskać tego artefaktu do dalszych badań. Obecnie nie jest jasne, kto stoi za operacją ani w jaki sposób użytkownicy są kierowani do złośliwych linków.

Eksperci podkreślają, że przypadek FireScam pokazuje, jak cyberprzestępcy wykorzystują zaufanie użytkowników do znanych platform. Poprzez imitację legalnych sklepów z aplikacjami, złośliwe strony skutecznie nakłaniają ofiary do pobierania i instalowania fałszywych aplikacji. Działania takie jak eksfiltracja danych i nadzór nad urządzeniem dowodzą skuteczności metod dystrybucji opartych na phishingu.

Infekcja malware na smartfonie może prowadzić do poważnych konsekwencji finansowych, w tym utraty pieniędzy poprzez przejęcie haseł do bankowości internetowej. Złośliwe oprogramowanie, po zainstalowaniu na urządzeniu, może monitorować aktywność użytkownika, przechwytywać dane logowania oraz inne poufne informacje.

W efekcie cyberprzestępcy mogą uzyskać dostęp do kont bankowych, przeprowadzać nieautoryzowane transakcje i kraść środki finansowe. Badania pokazują, że liczba ataków na urządzenia mobilne rośnie, co podkreśla konieczność stosowania odpowiednich środków ochrony, takich jak regularne aktualizacje oprogramowania, instalacja aplikacji tylko z zaufanych źródeł oraz korzystanie z programów antywirusowych.