Nowy wariant złośliwego oprogramowania o nazwie FireScam wykorzystuje popularny komunikator – Telegram do infekowania urządzeń z Androidem. W ten sposób kradnie nie tylko dane użytkowników, ale też przejmuję kontrolę nad urządzeniem. Może to prowadzić do utraty pieniędzy.
Firma cyberbezpieczeństwa Cyfirma wykryła nowe złośliwe oprogramowanie FireScam. Podszywa się pod wersję premium komunikatora Telegram. Program pojawił się na fałszywej stronie hostowej na platformie GitHub.io. Imituje ona popularny w Rosji sklep z aplikacjami RuStore. W ten sposób złośliwe oprogramowanie jest dystrybuowane.
Jak działa FireScam?
FireScam został określony przez specjalistów do cyberbezpieczeństwa jako zaawansowane zagrożenie wykorzystujące wieloetapowy proces infekcji.
Najpierw rozpoczyna się instalacja tzw. droppera. To program odpowiedzialny za pobranie i uruchomienie głównego ładunku.
Po zainstalowaniu malware wykonuje szereg operacji. Wszystkie mają na celu przejęcie kontroli nad urządzeniem. Proces instalacji wymaga od użytkownika przekazania rozległych uprawnień. Jest to także możliwość zapisu w pamięci zewnętrznej oraz instalowania, aktualizowania i usuwania aplikacji na zainfekowanych urządzeniach z Androidem.
Program monitoruje i analizuje:
– powiadomienia przychodzące na urządzenie;
– zmiany stanu ekranu;
– transakcje e-commerce;
– zawartość schowka;
– aktywność użytkownika.
Posiada możliwość pobierania i przetwarzania danych obrazów z określonych adresów URL.
Mechanizm ENFORCE_UPDATE_OWNERSHIP
FireScam wykorzystuje techniki maskowania i przeciwdziałania analizie, żeby uniknąć wykrycia.
Szczególnie niebezpiecznym elementem jest wykorzystanie mechanizmu ENFORCE_UPDATE_OWNERSHIP. Jak wyjaśniają specjaliści z Cyfirmy: mechanizm ten ogranicza możliwość aktualizacji aplikacji wyłącznie do właściciela aplikacji. Instalator początkowy może zadeklarować się jako właściciel aktualizacji, tym samym przejmując kontrolę nad procesem aktualizacji.
Dla zabezpieczenia system wymaga zatwierdzenia przez użytkownika prób aktualizacji przez inne instalatory. Jednak złośliwe oprogramowanie wykorzystuje to do pozostania na urządzeniu.
FireScam kradnie pieniądze
Po uruchomieniu fałszywej aplikacji Telegram Premium – czyli malware przygotowanego przez przestępców – próbuje on uzyskać dostęp do listy kontaktów, historii połączeń i wiadomości SMS. Wyświetla również stronę logowania do prawdziwego serwisu Telegram w komponencie WebView. W ten sposób przechwytuje dane uwierzytelniające.
Program wykorzystuje również usługę Firebase Cloud Messaging (FCM). Pozwala ona otrzymywać zdalne polecenia i utrzymywać ukryty dostęp do urządzenia. Nawiązuje połączenie WebSocket z serwerem command-and-control (C2) w celu eksfiltracji danych i wykonywania dodatkowych działań.
Wszystkie te działania podejmowane przez FireScam mogą prowadzić do utraty pieniędzy. Stanie się tak, gdy malware przejmie dane logowania do bankowości internetowej. Tyle wystarczy przestępcom do wyczyszczenia konta.
Po dostaniu się do konta bankowego hakerzy przeprowadzają nieautoryzowane transakcje i kradną środki. Mając pełen dostęp do urządzenia są w stanie pokonać uwierzytelnianie dwuskładnikowe, gdy np. SMS potwierdzające przelew przychodzą na urządzenie, nad którym panują.
FireScam udowadnia, że cyberprzestępcy mają sposoby, by wykorzystać zaufanie użytkowników do znanych platform. Imitują legalne sklepy i w ten sposób nakłaniają ofiary do instalowania swojego złośliwego oprogramowania przypominającego znane aplikacje. Uchronienie się przed takim działaniem wymaga wielkiej ostrożności.
Źródło: money.pl
