Угроза маскируется под Telegram и крадет данные пользователей. Рассказываем, что известно о программе FireScam.
Эксперты компании Cyfirma обнаружили вредоносную программу под названием FireScam, которая нацелена на кражу информации у владельцев устройств на базе Android. Программа маскировалась под официальное приложение Telegram Premium и распространялась через поддельный сайт, напоминающий российский магазин RuStore, пишет hi-tech.mail.ru.
Специалисты по кибербезопасности отмечают, что фальшивый сайт, копирующий RuStore, загружает на устройства пользователей приложение под названием GetAppsRu.apk. Оно разработано таким образом, чтобы избежать обнаружения стандартными защитными механизмами Android.
После загрузки программа запрашивает права на просмотр списка установленных приложений и просит предоставить доступ к памяти устройства, а также разрешение на скачивание дополнительных компонентов. Затем она устанавливает основную вредоносную часть — Telegram_Premium.apk, которая запрашивает разрешения на мониторинг уведомлений, данных буфера обмена, SMS, телефонных служб и другой конфиденциальной информации.
Когда пользователь впервые запускал FireScam, он видел страницу входа в Telegram, где злоумышленники собирали введенные учетные данные. Помимо этого, программа связывалась с базой данных Firebase Realtime Database, куда передавались украденные сведения в режиме реального времени.
Кроме того, FireScam поддерживает постоянное подключение к удаленному серверу, позволяя киберпреступникам управлять зараженным устройством, запрашивать данные, настраивать функции слежки и устанавливать дополнительное вредоносное ПО. Приложение также способно отслеживать активность экрана и перехватывать транзакции электронной коммерции с указанными в них конфиденциальными финансовыми данными.
«Все, что пользователь вводит, перетаскивает, копирует в буфер обмена и даже данные, автоматически заполняемые менеджерами паролей или обмениваемые между приложениями, классифицируется и передается злоумышленникам», — сообщает источник.
Эксперты по безопасности Cyfirma заключают, что вредоносная программа FireScam представляет собой «сложную и многогранную угрозу», которая «использует передовые методы уклонения от обнаружения». Компания рекомендует пользователям проявлять осторожность при открытии файлов из потенциально ненадежных источников или при переходе по незнакомым ссылкам.
