Um novo malware para Android denominado 'FireScam' está sendo distribuído como uma versão premium do aplicativo Telegram por meio de sites de phishing no GitHub que imitam o RuStore, o mercado de aplicativos russo para dispositivos móveis.
O RuStore foi lançado em maio de 2022 pelo grupo russo de internet VK (VKontakte) como uma alternativa ao Google Play e à App Store da Apple, seguindo sanções ocidentais que impactaram o acesso dos usuários russos a softwares móveis.
Ele hospeda aplicativos que estão em conformidade com as regulamentações russas e foi criado com o apoio do Ministério do Desenvolvimento Digital da Rússia.
De acordo com pesquisadores da empresa de gerenciamento de ameaças Cyfirma, a página maliciosa no GitHub que imita o RuStore entrega inicialmente um módulo dropper chamado GetAppsRu.apk.
O APK dropper é ofuscado usando DexGuard para evitar detecção e adquirir permissões que permitem identificar aplicativos instalados, acessar o armazenamento do dispositivo e instalar pacotes adicionais.
Em seguida, ele extrai e instala o payload principal do malware, ‘Telegram Premium.apk’, que solicita permissões para monitorar notificações, dados da área de transferência, SMS e serviços de telefonia, entre outros.
Ao ser executado, uma tela enganosa WebView mostrando uma página de login do Telegram rouba as credenciais do usuário para o serviço de mensagens.
O FireScam estabelece comunicação com um Firebase Realtime Database onde ele faz upload de dados roubados em tempo real e registra o dispositivo comprometido com identificadores únicos, para fins de rastreamento.
A Cyfirma relata que os dados roubados são armazenados no banco de dados apenas temporariamente e depois apagados, presumivelmente depois que os atores da ameaça os filtraram em busca de informações valiosas e os copiaram para um local diferente.
O malware também abre uma conexão WebSocket persistente com o endpoint Firebase C2 para execução de comandos em tempo real, como solicitar dados específicos, acionar uploads imediatos para o banco de dados Firebase, baixar e executar payloads adicionais, ou ajustar os parâmetros de vigilância.
O FireScam também pode monitorar alterações na atividade da tela, capturando eventos de ligar/desligar e registrar o aplicativo ativo no momento, bem como dados de atividade para eventos que duram mais de 1.000 milissegundos.
O malware monitora meticulosamente quaisquer transações de e-commerce, tentando capturar dados financeiros sensíveis.
Tudo o que o usuário digita, arrasta e solta, copia para a área de transferência e intercepta até mesmo dados preenchidos automaticamente de gerenciadores de senhas ou trocas entre aplicativos é categorizado e exfiltrado para os atores da ameaça.
Embora a Cyfirma não tenha indícios apontando para os operadores do FireScam, os pesquisadores dizem que o malware é uma "ameaça sofisticada e multifacetada" que "emprega técnicas avançadas de evasão".
A empresa recomenda que os usuários tenham cautela ao abrir arquivos de fontes potencialmente não confiáveis ou ao clicar em links desconhecidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...