- 14,667
- 22
- 8 Ноя 2022
Злоумышленники создают сложные схемы для хищения информации.
Специалисты по кибербезопасности выявили новое вредоносное ПО FireScam, маскирующееся под премиум-версию Telegram для Android. Исследователи CyFirma Для просмотра ссылки Войдиили Зарегистрируйся , что вирус специализируется на хищении учетных данных и личной информации пользователей.
Злоумышленники распространяют вредоносное ПО через поддельную страницу на GitHub, имитирующую российский магазин приложений RuStore. RuStore, запущенный VK в мае 2022 года как отечественная альтернатива Google Play и App Store, является официальной платформой для распространения мобильных приложений в России.
Механизм работы FireScam состоит из двух этапов. Сначала загружается дроппер GetAppsRu.apk, замаскированный с помощью DexGuard. Он запрашивает критические разрешения для доступа к системе. Затем устанавливается основной вредоносный модуль Telegram Premium.apk, который получает доступ к уведомлениям, буферу обмена и SMS.
После активации FireScam демонстрирует фальшивый экран входа в Telegram для кражи учетных данных. Вредонос использует Firebase Realtime Database для мгновенной передачи похищенной информации и отслеживания устройства по уникальным идентификаторам. WebSocket-соединение с командным сервером Firebase позволяет получать команды в реальном времени.
Вредоносная программа обладает широкими возможностями слежения: мониторит активность экрана, работающие приложения, финансовые операции, перехватывает вводимые данные и содержимое буфера обмена. Особое внимание уделяется краже данных из менеджеров паролей.
Учитывая высокую техническую сложность FireScam и его продвинутые методы маскировки, эксперты CyFirma настоятельно рекомендуют пользователям загружать приложения только из официальных источников и проявлять бдительность при переходе по внешним ссылкам.
Специалисты по кибербезопасности выявили новое вредоносное ПО FireScam, маскирующееся под премиум-версию Telegram для Android. Исследователи CyFirma Для просмотра ссылки Войди
Злоумышленники распространяют вредоносное ПО через поддельную страницу на GitHub, имитирующую российский магазин приложений RuStore. RuStore, запущенный VK в мае 2022 года как отечественная альтернатива Google Play и App Store, является официальной платформой для распространения мобильных приложений в России.
Механизм работы FireScam состоит из двух этапов. Сначала загружается дроппер GetAppsRu.apk, замаскированный с помощью DexGuard. Он запрашивает критические разрешения для доступа к системе. Затем устанавливается основной вредоносный модуль Telegram Premium.apk, который получает доступ к уведомлениям, буферу обмена и SMS.
После активации FireScam демонстрирует фальшивый экран входа в Telegram для кражи учетных данных. Вредонос использует Firebase Realtime Database для мгновенной передачи похищенной информации и отслеживания устройства по уникальным идентификаторам. WebSocket-соединение с командным сервером Firebase позволяет получать команды в реальном времени.
Вредоносная программа обладает широкими возможностями слежения: мониторит активность экрана, работающие приложения, финансовые операции, перехватывает вводимые данные и содержимое буфера обмена. Особое внимание уделяется краже данных из менеджеров паролей.
Учитывая высокую техническую сложность FireScam и его продвинутые методы маскировки, эксперты CyFirma настоятельно рекомендуют пользователям загружать приложения только из официальных источников и проявлять бдительность при переходе по внешним ссылкам.
- Источник новости
- www.securitylab.ru
