Novo malware Android FireScam se disfarça de mensageiro do Telegram e rouba dados do usuário

Especialistas da empresa de segurança da informação Cyfirma descobriram um novo aplicativo malicioso chamado FireScam e tem como objetivo roubar dados de usuários de dispositivos Android. O malware foi disfarçado como um falso aplicativo Telegram Premium e foi distribuído por meio de uma página do GitHub imitando a loja russa de conteúdo digital RuStore.

Fonte da imagem: Bleep Computer

Segundo pesquisadores da Cyfirma, o APK dropper GetAppsRu.apk, protegido contra detecção pelas ferramentas de segurança do Android, foi entregue ao dispositivo da vítima por meio de uma página maliciosa simulando RuStore. Ele recebeu as permissões necessárias para verificar o dispositivo em busca de aplicativos instalados, bem como acesso ao armazenamento do dispositivo e permissão para baixar pacotes adicionais. Em seguida, o módulo extraiu e instalou o malware principal Telegram_Premium.apk, que, por sua vez, solicitou permissão para monitorar notificações, dados da área de transferência, conteúdo de SMS, etc.

Quando iniciado pela primeira vez, o malware exibe uma página de entrada de dados semelhante à que você vê ao fazer login no Telegram. Os dados inseridos pelo usuário são roubados e depois utilizados para trabalhar com o mensageiro. O FireScam também estabelece uma conexão com o Firebase Realtime Database, para onde são transferidas as informações roubadas do dispositivo da vítima. Segundo a Cyfirma, os dados roubados são armazenados temporariamente no banco de dados e, depois que os invasores os filtram, eles são excluídos ou transferidos para outro lugar.

O malware também estabelece uma conexão persistente com um servidor remoto, que permite aos invasores executar vários comandos no dispositivo da vítima, incluindo a solicitação de determinados dados, a definição de parâmetros de vigilância adicionais e o download de malware adicional. FireScam é capaz de rastrear mudanças na atividade na tela do dispositivo, registrando diversos eventos com duração superior a 1000 ms. O malware monitora cuidadosamente todas as transações, tentando interceptar os dados confidenciais de pagamento da vítima. Tudo o que o usuário digita e copia para a área de transferência é classificado e transferido para o servidor remoto.

Embora a Cyfirma não tenha ideia de quem é o operador do novo malware, a empresa observou que a campanha é uma “ameaça complexa e de múltiplas camadas” que “usa técnicas avançadas de camuflagem”. Os especialistas da empresa recomendam que os usuários tenham cuidado com arquivos executáveis ​​baixados de fontes potencialmente não confiáveis.