Novo malware FireScam para Android se disfarça como app Telegram Premium e rouba dados de usuários

Um novo malware para Android chamado "FireScam" está sendo distribuído como uma versão premium do aplicativo Telegram, por meio de sites de phishing hospedados no GitHub que imitam o RuStore, o mercado de aplicativos móveis da Rússia.

O RuStore foi lançado em maio de 2022 pelo grupo de internet russo VK (VKontakte) como uma alternativa ao Google Play e à App Store da Apple, após sanções ocidentais restringirem o acesso de usuários russos a softwares móveis. O mercado é regulamentado pelo Ministério do Desenvolvimento Digital da Rússia.

Funcionamento do FireScam

De acordo com pesquisadores da empresa de gestão de ameaças Cyfirma, o site falso no GitHub entrega inicialmente um módulo dropper chamado GetAppsRu.apk. Este dropper utiliza o DexGuard para ofuscar seu código e evitar detecção, obtendo permissões que permitem identificar aplicativos instalados, acessar o armazenamento do dispositivo e instalar pacotes adicionais.

Depois disso, o dropper instala o payload principal, Telegram Premium.apk, que solicita permissões amplas, incluindo monitoramento de notificações, dados da área de transferência, mensagens SMS e serviços de telefonia.

Quando executado, o malware exibe uma página falsa de login do Telegram via WebView, enganando os usuários para roubar suas credenciais.

Roubo e Manipulação de Dados

O FireScam se comunica com um banco de dados Firebase Realtime, onde armazena dados roubados em tempo real e registra dispositivos comprometidos com identificadores únicos. Os dados são mantidos temporariamente antes de serem excluídos, provavelmente após os cibercriminosos filtrarem informações valiosas e transferirem para outro local.

Além disso, o malware estabelece uma conexão persistente via WebSocket com o Firebase, permitindo comandos em tempo real, como solicitar dados específicos, carregar informações imediatamente, baixar e executar outros arquivos maliciosos ou ajustar parâmetros de vigilância.

O FireScam também monitora atividades na tela, capturando eventos de aplicativos ativos e registrando transações de e-commerce, tentando acessar dados financeiros sensíveis. Ele intercepta tudo o que o usuário digita, copia, arrasta ou preenche automaticamente, incluindo informações de gerenciadores de senhas ou trocas entre aplicativos.

Sofisticação e Recomendação

Os pesquisadores da Cyfirma descrevem o FireScam como uma ameaça "sofisticada e multifacetada", que utiliza técnicas avançadas de evasão. Embora a origem dos operadores do malware não tenha sido identificada, os especialistas alertam sobre o perigo dessa ferramenta.

A Cyfirma recomenda que os usuários sejam cautelosos ao abrir arquivos de fontes não confiáveis ou ao clicar em links desconhecidos, reforçando a importância de práticas seguras no uso de dispositivos móveis.

Via - BC