Специалисты из ИБ-компании Cyfirma обнаружили вредоносное программное обеспечение под названием FireScam, которое нацелено на кражу данных у пользователей Android. Оно маскируется под приложение Telegram Premium и распространяется через страницу на GitHub, которая имитирует российский магазин RuStore. Об этом сообщает BleepingComputer.
Эксперты отмечают, что фальшивая страница RuStore загружает на устройства жертв файл с названием «GetAppsRu.apk», который обладает защитой от антивирусных решений Android. После установки это вредоносное ПО получает разрешения на сканирование установленных приложений, доступ к хранилищу, а также позволяет загружать дополнительные пакеты.
Когда приложение начинает работать, оно устанавливает основной вредоносный компонент «Telegram_Premium.apk», который запрашивает доступ к уведомлениям, буферу обмена, SMS и другим данным. При первом запуске FireScam, который выглядит как знаменитый мессенджер, появляется страница авторизации Telegram, предназначенная для кражи пользовательских данных.
Также приложение связывается с базой данных Firebase Realtime Database, куда отправляются украденные данные. FireScam поддерживает постоянное соединение с удаленным сервером, что дает возможность злоумышленникам выполнять разнообразные команды на устройстве жертвы. Сюда входит запрос данных, настройка параметров слежения и установка другого вредоносного ПО. Кроме того, данная программа отслеживает активность на экране устройства и может захватывать платежные данные.
Telegram-канал Техносовет – подпишитесь и будьте в курсе актуальных новостей о технологиях
