Utvrđeno je da je maliciozni softver za krađu Android podataka pod nazivom FireScam maskiran u premium verziju aplikacije za razmjenu poruka Telegram za krađu podataka i održavanje trajne daljinske kontrole nad kompromitovanim uređajima.
“Prerušena u lažnu aplikaciju ‘Telegram Premium’, distribuira se preko web-lokacije za krađu identiteta hostovane na GitHub.io i koja oponaša RuStore – popularnu trgovinu aplikacija u Ruskoj Federaciji,” rekao je Cyfirma , opisujući je kao “sofisticiranu i višestruku prijetnju. “
“Maliciozni softver koristi proces zaraze u više faza, počevši od APK-a s kapaljkom, i obavlja opsežne aktivnosti nadzora nakon instaliranja.”
Predmetna stranica za krađu identiteta, rustore-apk.github[.]io, oponaša RuStore, trgovinu aplikacija koju je pokrenuo ruski tehnološki gigant VK u zemlji, a dizajnirana je za isporuku APK datoteke (“GetAppsRu.apk”).
Jednom instaliran, dropper djeluje kao sredstvo za isporuku glavnog tereta, koji je odgovoran za eksfiltraciju osjetljivih podataka, uključujući obavještenja, poruke i druge podatke aplikacije, do krajnje točke Firebase baze podataka u realnom vremenu.
Aplikacija dropper zahtijeva nekoliko dozvola, uključujući mogućnost pisanja u vanjsku pohranu i instaliranja, ažuriranja ili brisanja proizvoljnih aplikacija na zaraženim Android uređajima koji koriste Android 8 i novije verzije.
“Dozvola ENFORCE_UPDATE_OWNERSHIP ograničava ažuriranja aplikacije na određenog vlasnika aplikacije. Početni instalater aplikacije može sebe proglasiti ‘vlasnikom ažuriranja’, čime kontrolira ažuriranja aplikacije”, napomenuo je Cyfirma.
“Ovaj mehanizam osigurava da pokušaji ažuriranja od strane drugih instalatera zahtijevaju odobrenje korisnika prije nego što nastave. Određivanjem sebe kao vlasnika ažuriranja, malicioznih aplikacija može spriječiti legitimna ažuriranja iz drugih izvora, održavajući tako svoju postojanost na uređaju.”
FireScam koristi različite tehnike zamagljivanja i antianalize kako bi izbjegao otkrivanje. Takođe prati dolazne obavijesti, promjene stanja ekrana, transakcije e-trgovine, sadržaj međuspremnika i aktivnosti korisnika kako bi prikupio informacije od interesa. Još jedna značajna funkcija je njena sposobnost preuzimanja i obrade slikovnih podataka sa određenog URL-a.
Lažna aplikacija Telegram Premium, kada se pokrene, dalje traži dozvolu korisnika da pristupi listama kontakata, evidenciji poziva i SMS porukama, nakon čega se stranica za prijavu na legitimnu Telegram web stranicu prikazuje putem WebViewa kako bi se ukrali krendicijali. Proces prikupljanja podataka se pokreće bez obzira da li se žrtva prijavljuje ili ne.
Na kraju, registruje uslugu za primanje Firebase Cloud Messaging (FCM) obavještenja, omogućavajući mu da prima daljinske komande i održava tajni pristup – što je znak širokih mogućnosti nadzora malicioznog softvera. Maliciozni softver takođe istovremeno uspostavlja WebSocket vezu sa svojim serverom za komandu i kontrolu (C2) za eksfiltraciju podataka i prateće aktivnosti.
Cyfirma je rekla da je phishing domen takođe bio domaćin još jednog malicioznog artefakta pod nazivom CDEK, koji je vjerovatno referenca na rusku uslugu praćenja paketa i isporuke. Međutim, kompanija za cyber bezbjednost rekla je da nije bila u mogućnosti da dobije artefakt u vrijeme analize.
Trenutno nije jasno ko su operateri ili kako se korisnici upućuju na ove linkove, i da li se radi o SMS phishing ili malvertising tehnikama.
“Imitirajući legitimne platforme kao što je prodavnica aplikacija RuStore, ove maliciozne web stranice iskorištavaju povjerenje korisnika kako bi obmanule pojedince da preuzmu i instaliraju lažne aplikacije”, rekao je Cyfirma.
“FireScam provodi svoje maliciozne aktivnosti, uključujući eksfiltraciju podataka i nadzor, dodatno demonstrirajući učinkovitost metoda distribucije zasnovanih na phishing-u u zarazi uređaja i izbjegavanju otkrivanja.”
Izvor:The Hacker News
