A malware maga a népszerű Telegram alkalmazás Premium verziójaként tünteti fel magát.
Hogyan működik a magát Telegram alkalmazásnak feltüntető malware?
A RuStore-t 2022 májusában indította el az orosz VK (VKontakte) internetes csoport, mint alternatívát a Google Play és az Apple App Store helyett, miután a nyugati szankciók korlátozták az orosz felhasználók hozzáférését a mobil szoftverekhez. A RuStore olyan alkalmazásokat kínál, amelyek megfelelnek az orosz szabályozásoknak, és az orosz Digitális Fejlesztési Minisztérium támogatásával jött létre.
A Cyfirma kiberbiztonsági vállalat kutatói szerint a RuStore-t utánzó rosszindulatú GitHub oldal először egy „GetAppsRu.apk” nevű droppert telepít. A dropper APK-t a DexGuard segítségével obfuszkálják, így elkerüli az észrevételt. Ez az alkalmazás olyan engedélyeket szerez a készüléken, amiktől lehetővé válik a támadók számára a telepített alkalmazások azonosítása. Sőt a készülék tárhelyéhez való hozzáférés és további csomagok telepítése.
Ezt követően a dropper telepíti a fő malwaret, a „Telegram Premium.apk”-t. Ez az alkalmazás olyan engedélyeket kér, amelyek lehetővé teszik az értesítések, a vágólap adatai, az SMS-ek és a telefonos szolgáltatások, valamint egyéb funkciók megfigyelését.
Ezután egy WebView képernyő jelenik meg, ami látszatra a Telegram bejelentkezési felületének tűnhet. Innen a malware ellopja a felhasználó Telegram hitelesítő adatait. A FireScam kapcsolatot létesít egy Firebase Realtime adatbázissal, ahová valós időben feltölti az ellopott adatokat. Majd egyedi azonosítókkal regisztrálja a megfertőzött eszközt nyomon követési célokra.
A malware emellett egy állandó WebSocket kapcsolatot nyit a Firebase C2 végponttal, ami valós idejű parancsvégrehajtást tesz lehetővé. Például specifikus adatok kérését, azonnali feltöltések indítását a Firebase adatbázisba, további payload-ok letöltését és végrehajtását, vagy a megfigyelési paraméterek módosítását. A FireScam figyeli a képernyő-tevékenység változásait is, rögzíti a képernyő be- és kikapcsolási eseményeit, a megnyitott aktív alkalmazásokat, ezen felül az 1 másodpercnél hosszabb események aktivitási adatait is naplózza.
A malware különösen nagy figyelmet fordít az e-kereskedelmi tranzakciókra, és megpróbálja rögzíteni az érzékeny pénzügyi adatokat.
Mindent, amit a felhasználó begépel, áthúz, vágólapra másol, vagy amit a jelszókezelők automatikusan töltenek ki, vagy alkalmazások egymás között kommunikálnak: a malware kategorizál és továbbít a támadók felé.
Bár a Cyfirma nem rendelkezik információval arról, hogy ki vagy kik lehetnek a FireScam üzemeltetői, abban biztos, hogy a malware egy kifinomult és sokoldalú fenyegetés, ami fejlett rejtőzködési technikákat alkalmaz.
(Forrás: NKI | Kép: Christoph Scholz/flickr)
