Специалисты компании Cyfirma обнаружили новую вредоносную программу FireScam, нацеленную на пользователей Android-устройств версий 8-15. Малварь распространяется через поддельные страницы на платформе GitHub, имитирующие интерфейс магазина приложений RuStore, и маскируется под премиальную версию популярного мессенджера Telegram.
Механизм распространения и внедрения
Процесс заражения начинается с загрузки модуля-дроппера GetAppsRu.apk через фишинговый сайт на GitHub.io. Для защиты от обнаружения антивирусными решениями дроппер использует продвинутую систему обфускации DexGuard. После установки вредонос запрашивает расширенные разрешения для доступа к системным функциям устройства.
Функциональные возможности и методы кражи данных
Основная полезная нагрузка доставляется в виде файла Telegram Premium.apk, который создает поддельный интерфейс авторизации Telegram через WebView. Введенные пользователем учетные данные немедленно передаются операторам вредоноса. FireScam устанавливает постоянное соединение с базой данных Firebase Realtime Database для передачи похищенной информации.
Расширенные возможности слежения
Вредоносная программа обладает широким спектром функций для мониторинга активности пользователя:
— Отслеживание уведомлений и данных буфера обмена
— Мониторинг SMS-сообщений и журнала вызовов
— Запись активности приложений длительностью более 1000 мс
— Перехват финансовых операций и конфиденциальных данных
Система управления и контроля
FireScam использует постоянное WebSocket-соединение с Firebase для получения команд в реальном времени. Это позволяет операторам вредоноса удаленно управлять зараженными устройствами, запрашивать определенные данные и настраивать параметры слежки. Похищенная информация временно хранится в базе данных Firebase перед извлечением злоумышленниками.
Эксперты по кибербезопасности рекомендуют пользователям Android-устройств проявлять особую бдительность при установке приложений, загружать ПО только из официальных источников и регулярно проверять выданные приложениям разрешения. Использование современных антивирусных решений и своевременное обновление системы безопасности также помогут снизить риск заражения подобными вредоносными программами.
