Um malware “ladrão de dados” do Android, denominado “FireScam”, está se passando por uma versão premium do app Telegram para roubar informações e manter controle remoto persistente nos dispositivos infectados.
“Disfarçado como um app de ‘Telegram Premium’ falso, ele é distribuído por um site de phishing hospedado no GitHub.io, que simula a popular loja de aplicativos russa RuStore”, afirmou a empresa de cibersegurança Cyfirma, que descreveu o malware como “uma ameaça sofisticada e multifacetada”.
Como o malware atua?
O FireScam implementa um processo de infecção de várias etapas, começando com um dropper APK. Depois de instalado, emprega atividades de vigilância extensivas e preocupantes.
O site de phishing em questão (rustore-apk.github[.]io) simula a RuStore, uma loja de aplicativos da big tech russa VK. A página é projetada para entregar um arquivo APK em dropper (“GetAppsRu.apk”).
Uma vez instalado, o dropper funciona como um veículo de entrega da principal carga maliciosa, que é responsável por exfiltrar dados sensíveis – a exemplo de notificações, mensagens e outros dados do app – para um endpoint Firebase Realtime Database.
O aplicativo dropper solicita diversas permissões, incluindo a capacidade de gravar em armazenamento externo e instalar, atualizar ou deletar apps arbitrários em dispositivos Android infectados (a partir da versão Android 8).
De acordo com a Cyfirma, “a permissão ENFORCE_UPDATE_OWNERSHIP restringe as atualizações do aplicativo ao proprietário designado desse app. O instalador inicial de um aplicativo pode se declarar o ‘proprietário da atualização’, controlando assim as atualizações do app”.
👉🏽 Na prática, esse mecanismo garante que as tentativas de atualização de outros instaladores demandem a aprovação do usuário. Ao designar a si mesmo como o proprietário das atualizações, o app malicioso consegue impedir updates legítimos de outras fontes, mantendo assim sua persistência no dispositivo.
O FireScam emprega várias técnicas anti-análise e de ofuscação para escapar à detecção. Ele também mantém tabs de notificações recebidas, mudanças de estado de tela, transações de e-commerce, conteúdo da área de transferência e atividade do usuário para reunir informações de interesse. Outra função notável é sua capacidade de baixar e processar dados de imagem de uma URL específica.
Depois de lançado, o app falso de Telegram Premium busca permissões de usuário para acessar listas de contato, registros de chamadas e mensagens SMS. Em seguida, é exibida a página de login do site legítimo do Telegram por meio de um WebView para roubar as credenciais. O processo de coleta de dados é iniciado independentemente de a vítima efetuar login ou não.
Por fim, o malware registra um serviço para receber notificações do Firebase Cloud Messaging (FCM), permitindo que ele receba comandos remotos e mantenha acesso secreto – um sinal dos amplos recursos de monitoramento da ameaça. O malware também estabelece simultaneamente uma conexão WebSocket com seu servidor de comando e controle (C2) para exfiltração de dados e atividades subsequentes.
Segundo a Cyfirma, o domínio de phishing também hospedou outro artefato malicioso chamado CDEK, que provavelmente é uma referência a um serviço de rastreamento de pacotes e entregas com sede na Rússia. No entanto, a empresa de segurança cibernética disse que não conseguiu obter o artefato no momento da análise.
Até o momento, ainda não está claro quem são os operadores do malware, ou como os usuários são direcionados a esses links. Ainda não se sabe também se a ameaça envolve phishing por SMS ou técnicas de malverstising (malware distribuído via publicidades falsas).
“Ao imitar plataformas legítimas, como a loja de aplicativos RuStore, esses sites maliciosos exploram a confiança do usuário para enganar indivíduos a baixar e instalar aplicativos falsos”, destacou a Cyfirma. “O FireScam realiza suas atividades maliciosas – incluindo exfiltração e vigilância de dados – demonstrando ainda mais a eficácia dos métodos de distribuição baseados em phishing para infectar dispositivos e evitar a detecção.”
Com informações de: The Hacker News
Imagem: Dimitri Karastelev na Unsplash
