Cybersicherheitsforscher von Cyfirma haben eine hochentwickelte Malware namens FireScam identifiziert, die gezielt Android-Geräte der Versionen 8 bis 15 angreift. Die Schadsoftware verbreitet sich durch manipulierte GitHub-Seiten, die den russischen App-Store RuStore imitieren, und gibt sich als Premium-Version des beliebten Messaging-Dienstes Telegram aus.
Ausgefeilte Infiltrationsstrategie und Tarnungsmechanismen
Der Infektionsvorgang beginnt mit dem Download eines als GetAppsRu.apk getarnten Dropper-Moduls über gefälschte GitHub.io-Domains. Um Antivirenprogramme zu umgehen, implementiert die Malware fortschrittliche Verschleierungstechniken mittels DexGuard. Nach der Installation fordert die Schadsoftware weitreichende Systemzugriffe an, die weit über die üblichen Berechtigungen legitimer Apps hinausgehen.
Umfassende Spionagefunktionen und Datenexfiltration
Die Hauptschadkomponente wird als „Telegram Premium.apk“ ausgeliefert und erzeugt eine täuschend echte Telegram-Anmeldeoberfläche via WebView. Sobald Nutzer ihre Zugangsdaten eingeben, werden diese unmittelbar an die Command-and-Control-Server der Angreifer übermittelt. Zur Datenspeicherung und -übertragung nutzt FireScam die Firebase Realtime Database.
Erweiterte Überwachungsfähigkeiten
Das Malware-Arsenal umfasst verschiedene Spionagemodule:
– Überwachung von System-Benachrichtigungen und Zwischenablage
– Aufzeichnung von SMS und Anruflisten
– Tracking von App-Aktivitäten über 1000ms
– Abfangen sensibler Finanztransaktionen
Innovative Command-and-Control-Infrastruktur
FireScam etabliert eine permanente WebSocket-Verbindung zur Firebase-Plattform für Echtzeitsteuerung. Dies ermöglicht den Angreifern, infizierte Geräte fernzusteuern, spezifische Daten anzufordern und Überwachungsparameter anzupassen. Die erbeuteten Informationen werden temporär in Firebase zwischengespeichert, bevor sie von den Cyberkriminellen extrahiert werden.
Angesichts dieser wachsenden Bedrohung empfehlen Sicherheitsexperten mehrere präventive Maßnahmen: Installation von Apps ausschließlich über offizielle Stores, regelmäßige Überprüfung der App-Berechtigungen und Einsatz aktueller Antivirensoftware. Zusätzlich sollten Nutzer besondere Vorsicht walten lassen, wenn Apps erweiterte Systemrechte anfordern. Die konsequente Implementierung dieser Sicherheitspraktiken kann das Infektionsrisiko durch FireScam und ähnliche Bedrohungen erheblich reduzieren.
