Zagrożenia w cyberprzestrzeni: Nowe złośliwe oprogramowanie FireScam
Firma cyberbezpieczeństwa Cyfirma odkryła nową, szkodliwą aplikację FireScam, która pod pretekstem bycia premium wersją komunikatora Telegram, wprowadza w błąd użytkowników. Rozpowszechniana jest za pomocą fałszywej witryny na platformie GitHub.io, naśladującej znany w Rosji sklep z aplikacjami RuStore.
Jak działa FireScam?
FireScam to nowy rodzaj złośliwego oprogramowania, klasyfikowany jako wysoce zaawansowane zagrożenie. Inicjuje proces infekcji, instalując najpierw droppera – program odpowiedzialny za pobranie głównego ładunku. Następnie, pod pozorem instalacji aplikacji mobilnej GetAppsRu.apk, aplikacja dostarcza złośliwy kod na urządzenia z systemem Android w wersji 8 i nowsze.
Mechanizmy działania
FireScam po zainstalowaniu żąda szerokich uprawnień, co pozwala mu na pisanie w pamięci zewnętrznej oraz instalowanie i usuwanie aplikacji. Używa mechanizmu ENFORCE_UPDATE_OWNERSHIP, co ogranicza możliwości aktualizacji aplikacji tylko do jej „właściciela”. W rezultacie, złośliwe oprogramowanie może kontrolować aktualizacje i pozostać na zainfekowanym urządzeniu, nawet próbując przeciwstawić się metodą wykrycia.
Funkcje szpiegowskie FireScam
FireScam charakteryzuje się rozbudowanymi możliwościami monitorowania urządzenia – od śledzenia notyfikacji, zmian stanu ekranu, po analizę transakcji e-commerce i zawartości schowka. Aplikacja potrafi także uzyskiwać dostęp do historii połączeń i wiadomości SMS, a nawet do danych logowania do Telegrama poprzez fasadowy komponent WebView.
Techniki maskowania i zdalna kontrola
Złośliwe oprogramowanie używa różnorodnych technik maskowania, aby zminimalizować ryzyko wykrycia. Wykorzystuje Firebase Cloud Messaging (FCM) do odbierania instrukcji i utrzymywania ukrytego kontaktu z urządzeniem, oraz utrzymuje połączenie WebSocket z serwerem C2 (command-and-control), co umożliwia eksfiltrację danych.
Ochrona przed cyberzagrożeniami
Przypadki jak FireScam wskazują na konieczność podnoszenia świadomości na temat cyberzagrożeń i stosowania środków ochrony. Zaleca się regularne aktualizacje systemów, instalowanie aplikacji wyłącznie z zaufanych źródeł oraz korzystanie z programów antywirusowych, aby zminimalizować ryzyko infekcji złośliwym oprogramowaniem.
Co oznacza infekcja dla użytkownika?
Infekcja takim malware może prowadzić do poważnych konsekwencji, w tym utraty środków finansowych przez przejęcie dostępu do kont bankowych. Jest to szczególnie niebezpieczne, gdy złośliwe oprogramowanie uzyskałoby możliwość monitorowania aktywności użytkownika, przechwytywania danych logowania oraz innych informacji poufnych.
Podsumowanie
Odkrycie FireScam przez Cyfirmę to przestroga dla wszystkich użytkowników internetu. Ważne jest, aby zawsze zachować czujność i stosować najlepsze praktyki w obszarze cyberbezpieczeństwa, aby uniknąć stania się ofiarą złośliwego oprogramowania.