Um novo malware para Android denominado 'FireScam' está sendo distribuído como uma versão premium do aplicativo Telegram por meio de sites de phishing no GitHub que imitam o RuStore, o mercado de aplicativos russo para dispositivos móveis.
O RuStore foi lançado em maio de 2022 pelo grupo russo de internet VK (VKontakte) como uma alternativa ao Google Play e à App Store da Apple, seguindo sanções ocidentais que impactaram o acesso dos usuários russos a softwares móveis.
Ele hospeda aplicativos que estão em conformidade com as regulamentações russas e foi criado com o apoio do Ministério do Desenvolvimento Digital da Rússia.
De acordo com pesquisadores da empresa de gerenciamento de ameaças Cyfirma, a página maliciosa no GitHub que imita o RuStore entrega inicialmente um módulo dropper chamado GetAppsRu.apk.
O APK dropper é ofuscado usando DexGuard para evitar detecção e adquirir permissões que permitem identificar aplicativos instalados, acessar o armazenamento do dispositivo e instalar pacotes adicionais.
Em seguida, ele extrai e instala o payload principal do malware, ‘Telegram Premium.apk’, que solicita permissões para monitorar notificações, dados da área de transferência, SMS e serviços de telefonia, entre outros.
Ao ser executado, uma tela enganosa WebView mostrando uma página de login do Telegram rouba as credenciais do usuário para o serviço de mensagens.
O FireScam estabelece comunicação com um Firebase Realtime Database onde ele faz upload de dados roubados em tempo real e registra o dispositivo comprometido com identificadores únicos, para fins de rastreamento.
A Cyfirma relata que os dados roubados são armazenados no banco de dados apenas temporariamente e depois apagados, presumivelmente depois que os atores da ameaça os filtraram em busca de informações valiosas e os copiaram para um local diferente.
O malware também abre uma conexão WebSocket persistente com o endpoint Firebase C2 para execução de comandos em tempo real, como solicitar dados específicos, acionar uploads imediatos para o banco de dados Firebase, baixar e executar payloads adicionais, ou ajustar os parâmetros de vigilância.
O FireScam também pode monitorar alterações na atividade da tela, capturando eventos de ligar/desligar e registrar o aplicativo ativo no momento, bem como dados de atividade para eventos que duram mais de 1.000 milissegundos.
O malware monitora meticulosamente quaisquer transações de e-commerce, tentando capturar dados financeiros sensíveis.
Tudo o que o usuário digita, arrasta e solta, copia para a área de transferência e intercepta até mesmo dados preenchidos automaticamente de gerenciadores de senhas ou trocas entre aplicativos é categorizado e exfiltrado para os atores da ameaça.
Embora a Cyfirma não tenha indícios apontando para os operadores do FireScam, os pesquisadores dizem que o malware é uma "ameaça sofisticada e multifacetada" que "emprega técnicas avançadas de evasão".
A empresa recomenda que os usuários tenham cautela ao abrir arquivos de fontes potencialmente não confiáveis ou ao clicar em links desconhecidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...