Стилер FireScam маскируется под Telegram Premium - «Новости» » Интернет технологии
sitename
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
 Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Вымогатели Hunters International считают, что шифровальщики стали слишком опасными - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Стилер FireScam маскируется под Telegram Premium - «Новости»

✔Стилер FireScam маскируется под Telegram Premium - «Новости»

11 января 2025 458 Новости / Изображения / Вёрстка / Отступы и поля / Текст 0

Обнаружена новая Android-малварь FireScam, которая маскируется под премиум-версию Telegram и нацелена на устройства под управлением Android версий 8–15. Вредонос распространяется через фишинговые страницы на GitHub, которые имитируют магазин приложений RuStore.


По данным исследователей из компании Cyfirma, вредоносная страница на GitHub.io, имитирующая RuStore (в настоящее время уже удалена), сначала доставляла жертвам модуль-дроппер под названием GetAppsRu.apk.


Стилер FireScam маскируется под Telegram Premium - «Новости»

Фальшивый RuStore

Этот APK-дроппер обфусцирован с помощью DexGuard, чтобы уклоняться от обнаружения, и запрашивает разрешения, которые позволяют ему выявлять установленные на устройстве жертвы приложения, предоставляют доступ к хранилищу и дают возможность установки дополнительных пакетов.


Затем дроппер извлекает и устанавливает основную полезную нагрузку — Telegram Premium.apk, которая запрашивает у пользователя разрешения на отслеживание уведомлений, данных буфера обмена, SMS, журнала вызовов и так далее.


После запуска этой фальшивки пользователь видит WebView-экран, отображающий страницу входа в Telegram. Введенные на этой странице учетные данные в итоге попадают в руки операторов вредоноса.


Исследователи пишут, что в итоге FireScam устанавливает связь с базой данных Firebase Realtime Database, куда в режиме реального времени загружает все украденные данные, а также регистрирует скомпрометированное устройство, присваивая ему уникальный ID для отслеживания. При этом украденные данные хранятся в БД лишь временно, а затем удаляются (предположительно после того, как злоумышленники проверят их на предмет ценной информации и скопируют в другое место).


Кроме того, малварь устанавливает постоянное WebSocket-соединение с эндпоинтом Firebase для выполнения различных команд в режиме реального времени. Например, это могут быть запросы определенных данных, немедленная загрузка данных в БД Firebase, загрузка и выполнение дополнительных пейлоадов или настройка параметров слежки.


Помимо этого FireScam способен отслеживать изменения активности на экране, фиксируя события включения и выключения устройства, а также может записывать в журнал данные об активных приложениях и событиях длительностью более 1000 миллисекунд.


Также вредонос тщательно отслеживает все финансовые операции, стремясь перехватить конфиденциальные данные. Так, операторам FireScam передается все, что пользователь набирает на клавиатуре, перетаскивает, копирует в буфер обмена (включая данные, автоматически заполняемые менеджерами паролей).


Аналитики Cyfirma отмечают, что на том же фишинговом домене размещался и другой вредоносный артефакт под названием CDEK, который, вероятно, был связан с одноименной российской логистической компанией. Однако изучить этот артефакт исследователям не удалось.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Обнаружена новая Android-малварь FireScam, которая маскируется под премиум-версию Telegram и нацелена на устройства под управлением Android версий 8–15. Вредонос распространяется через фишинговые страницы на GitHub, которые имитируют магазин приложений RuStore. По данным исследователей из компании Cyfirma, вредоносная страница на GitHub.io, имитирующая RuStore (в настоящее время уже удалена), сначала доставляла жертвам модуль-дроппер под названием GetAppsRu.apk. Фальшивый RuStore Этот APK-дроппер обфусцирован с помощью DexGuard, чтобы уклоняться от обнаружения, и запрашивает разрешения, которые позволяют ему выявлять установленные на устройстве жертвы приложения, предоставляют доступ к хранилищу и дают возможность установки дополнительных пакетов. Затем дроппер извлекает и устанавливает основную полезную нагрузку — Telegram Premium.apk, которая запрашивает у пользователя разрешения на отслеживание уведомлений, данных буфера обмена, SMS, журнала вызовов и так далее. После запуска этой фальшивки пользователь видит WebView-экран, отображающий страницу входа в Telegram. Введенные на этой странице учетные данные в итоге попадают в руки операторов вредоноса. Исследователи пишут, что в итоге FireScam устанавливает связь с базой данных Firebase Realtime Database, куда в режиме реального времени загружает все украденные данные, а также регистрирует скомпрометированное устройство, присваивая ему уникальный ID для отслеживания. При этом украденные данные хранятся в БД лишь временно, а затем удаляются (предположительно после того, как злоумышленники проверят их на предмет ценной информации и скопируют в другое место). Кроме того, малварь устанавливает постоянное WebSocket-соединение с эндпоинтом Firebase для выполнения различных команд в режиме реального времени. Например, это могут быть запросы определенных данных, немедленная загрузка данных в БД Firebase, загрузка и выполнение дополнительных пейлоадов или настройка параметров слежки. Помимо этого FireScam способен отслеживать изменения активности на экране, фиксируя события включения и выключения устройства, а также может записывать в журнал данные об активных приложениях и событиях длительностью более 1000 миллисекунд. Также вредонос тщательно отслеживает все финансовые операции, стремясь перехватить конфиденциальные данные. Так, операторам FireScam передается все, что пользователь набирает на клавиатуре, перетаскивает, копирует в буфер обмена (включая данные, автоматически заполняемые менеджерами паролей). Аналитики Cyfirma отмечают, что на том же фишинговом домене размещался и другой вредоносный артефакт под названием CDEK, который, вероятно, был связан с одноименной российской логистической компанией. Однако изучить этот артефакт исследователям не удалось.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: