Эксперты компании Cyfirma, специализирующейся на информационной безопасности, выявили новое вредоносное программное обеспечение, получившее название FireScam. Это ПО нацелено на пользователей Android-устройств и представляет собой имитацию официального приложения Telegram Premium. Распространение вредоноса осуществлялось через фальшивую страницу, созданную на платформе GitHub и замаскированную под российский магазин приложений RuStore.
Вредоносный код доставлялся на устройства жертв в виде APK-дроппера, названного GetAppsRu.apk. Этот файл был тщательно защищён от обнаружения стандартными инструментами безопасности Android. После установки программа запрашивала разрешения для доступа к списку установленных приложений, хранилищу устройства и возможности загружать дополнительные файлы. Выполнив эти действия, дроппер извлекал и устанавливал основной вредоносный модуль Telegram_Premium.apk. Этот модуль запрашивал широкий спектр прав, включая доступ к уведомлениям, содержимому SMS, буферу обмена и другим конфиденциальным данным.
При первом запуске FireScam демонстрировал интерфейс, практически идентичный странице авторизации в Telegram, вводя пользователя в заблуждение. Введённые жертвой данные немедленно перехватывались и использовались злоумышленниками. Программа также подключалась к облачной базе данных Firebase Realtime Database для временного хранения украденной информации, после чего данные либо удалялись, либо перемещались на другие ресурсы.
Особенность FireScam заключалась в установлении постоянного соединения с удалённым сервером, который предоставлял злоумышленникам полный контроль над устройством жертвы. С его помощью они могли загружать дополнительное вредоносное ПО, изменять параметры работы устройства, запрашивать конфиденциальные данные и настраивать дополнительные функции слежения. Программа была способна отслеживать активность экрана, фиксируя события с длительностью более одной секунды, что позволяло ей перехватывать данные банковских транзакций и другую чувствительную информацию. Всё, что пользователь вводил или копировал в буфер обмена, систематически отправлялось на сервер злоумышленников.
Специалисты подчеркивают, что FireScam является сложной многоуровневой угрозой, которая использует передовые методы маскировки. Вредонос способен оставаться незамеченным на заражённых устройствах, пока его деятельность не начнёт вызывать подозрения. Признаками заражения могут быть заметные подвисания, ускоренный разряд батареи, перегрев, изменения в настройках устройства, а также неожиданное появление новых приложений или рост расходов на мобильную связь.
Cyfirma настоятельно рекомендует пользователям избегать установки приложений из непроверенных источников и уделять внимание безопасности скачиваемых файлов. Особое внимание следует уделять правам доступа, запрашиваемым приложениями, и проявлять осторожность при установке программ, предлагающих платные функции популярных сервисов бесплатно.
