Специалисты компании Cyfirma, занимающейся вопросами информационной безопасности, сообщили о появлении вредоносного приложения FireScam, предназначенного для пользователей Android из России. Оно замаскировано под Telegram и распространяется через фишинговые веб-сайты, имитирующие сервис RuStore.
Вредоносный файл в формате APK распространяется как альтернативный клиент Telegram через фишинговые веб-сайты, имитирующие RuStore. После установки он получает доступ к памяти устройства и устанавливает дополнительные программы для похищения личной информации пользователя.
Когда «мессенджер» запускается впервые, он открывает встроенный веб-сайт со страницей для входа в настоящий Telegram и перехватывает данные аккаунта. Затем он регистрирует взломанное устройство в хакерской базе данных, чтобы отслеживать его с помощью уникальных идентификаторов, и устанавливает соединение WebSocket с конечной точкой Firebase C2 для выполнения команд в реальном времени, вплоть до установки других приложений на смартфон жертвы.
Приложение способно отслеживать изменения в активности экрана, определять, какие программы открыты в текущий момент, регистрировать все платёжные операции и автоматически перехватывать вводимые пароли. Эксперты Cyfirma назвали этот зловред сложным и многоплановым и посоветовали пользователям быть внимательными при открытии файлов из сомнительных источников или переходе по неизвестным ссылкам.
По материалам:
4pda
