Фахівці з кібербезпеки компанії Cyfirma виявили нове шкідливе програмне забезпечення FireScam, яке становить серйозну загрозу для користувачів Android-пристроїв. Зловмисне ПЗ орієнтоване на власників смартфонів з версіями операційної системи від 8 до 15 та розповсюджується через підроблені сторінки на платформі GitHub, імітуючи офіційний магазин додатків RuStore.
Складний механізм інфікування та маскування
Процес зараження починається із завантаження спеціального модуля-дроппера GetAppsRu.apk через фішинговий сайт на GitHub.io. Для уникнення виявлення антивірусними системами шкідливе ПЗ використовує передову технологію обфускації DexGuard. Після встановлення малвар запитує розширені системні дозволи, що надають йому практично необмежений доступ до функцій пристрою.
Функціональні можливості та методи викрадення інформації
Основне шкідливе навантаження доставляється через файл Telegram Premium.apk, який створює фальшивий інтерфейс авторизації месенджера за допомогою WebView. FireScam встановлює постійне з’єднання з базою даних Firebase Realtime Database для передачі викрадених облікових даних користувачів.
Розширені можливості стеження за користувачем
Малвар має потужний арсенал функцій для моніторингу активності:
– Перехоплення системних сповіщень та даних буфера обміну
– Відстеження SMS-повідомлень та історії дзвінків
– Запис активності додатків тривалістю понад 1000 мс
– Моніторинг фінансових операцій та конфіденційної інформації
Інфраструктура керування та контролю
Для оперативного управління зараженими пристроями FireScam використовує постійне WebSocket-з’єднання з Firebase. Це дозволяє операторам шкідливого ПЗ віддалено контролювати інфіковані пристрої та налаштовувати параметри збору даних. Викрадена інформація тимчасово зберігається в базі даних Firebase перед подальшою ексфільтрацією зловмисниками.
Для захисту від зараження FireScam та подібними загрозами рекомендується дотримуватися базових правил цифрової гігієни: встановлювати додатки виключно з офіційних джерел, регулярно перевіряти надані програмам дозволи, використовувати сучасні антивірусні рішення та своєчасно оновлювати систему безпеки пристрою. Особливу увагу слід приділяти перевірці автентичності джерел завантаження та підозрілим запитам на розширені системні дозволи.
