新的一年,新的恐怖:有一种新发现的 Android 恶意软件,被称为“FireScam”;该应用程序作为 Telegram Premium 应用程序的假版本通过 GitHub 上托管的网络钓鱼网站进行分发。
这些网站模仿鲁商店俄罗斯政府支持的应用程序市场,该市场于 2022 年推出,作为 Google Play 和 Apple App Store 的替代品,以应对西方制裁。
电脑发出蜂鸣声读。
据网络安全专家称,钓鱼网站首先提供一个名为GetAppsRu.apk,称为滴管模块。 Dropper 是一种充当恶意软件传送工具的软件。该文件使用一种称为德克斯卫士,旨在隐藏其真实目的并逃避安全软件的检测。安装后,植入程序会请求权限,以允许其分析已安装的应用程序、访问设备的存储空间以及安装其他文件。
然后,植入程序会部署主要恶意软件,伪装成Telegram Premium.apk,它需要访问通知、剪贴板数据、短信和电话服务的广泛权限。执行时,该应用程序会向用户呈现一个类似于 Telegram 界面的虚假登录屏幕。此欺诈性屏幕捕获用户的凭据并将其发送给攻击者。不好玩,对吧?
FireScam 使用合法的云平台 Firebase 与远程数据库进行通信。它实时上传被盗数据,并使用唯一标识符注册设备以进行跟踪。该恶意软件还可以与 Firebase 保持持续通信以接收命令、下载更多恶意文件并调整其监视活动。
此外,FireScam 还会仔细跟踪用户活动,例如屏幕变化和电子商务交易,旨在窃取敏感的财务信息。它捕获用户输入、复制或交互的所有内容,包括由密码管理器自动填充或在应用程序之间共享的数据。这些信息在被分类为有价值的内容后发送给攻击者。绝对不好玩!
研究人员注意到 FireScam 的复杂设计及其对先进规避技术的使用,使其特别危险。虽然攻击者的身份仍然未知,但报告建议用户在下载应用程序时要小心谨慎,避免来自不受信任来源的文件,并避免点击不熟悉的链接,以尽量减少成为此类威胁受害者的风险。你只需要这样做。
