يتم توزيع برنامج ضار جديد يعمل بنظام Android يسمى “FireScam” كإصدار متميز من تطبيق Telegram عبر مواقع التصيد الاحتيالي على GitHub التي تحاكي RuStore، سوق التطبيقات الروسي للأجهزة المحمولة.
تم إطلاق RuStore في مايو 2022 من قبل مجموعة الإنترنت الروسية VK (VKontakte) كبديل لـ Google Play ومتجر تطبيقات Apple، بعد العقوبات الغربية التي أثرت على وصول المستخدمين الروس إلى برامج الهاتف المحمول.
يستضيف تطبيقات متوافقة مع اللوائح الروسية وتم إنشاؤه بدعم من وزارة التنمية الرقمية الروسية.
وفقًا للباحثين في شركة إدارة التهديدات Cyfirma، فإن صفحة GitHub الضارة التي تحاكي RuStore تقدم أولاً وحدة قطارة تسمى GetAppsRu.apk.
يتم حجب تطبيق dropper APK باستخدام DexGuard لتجنب الكشف والحصول على أذونات تسمح له بتحديد التطبيقات المثبتة، ويمنحه الوصول إلى مساحة تخزين الجهاز، وتثبيت حزم إضافية.
بعد ذلك، يقوم باستخراج وتثبيت حمولة البرامج الضارة الرئيسية، “Telegram Premium.apk”، والتي تطلب أذونات لمراقبة الإشعارات وبيانات الحافظة والرسائل النصية القصيرة وخدمات الهاتف، من بين أمور أخرى.
المصدر: سيفيرما
قدرات FireScam
عند التنفيذ، تقوم شاشة WebView الخادعة التي تعرض صفحة تسجيل الدخول إلى Telegram بسرقة بيانات اعتماد المستخدم لخدمة المراسلة.
يقوم FireScam بإنشاء اتصال مع قاعدة بيانات Firebase Realtime حيث يقوم بتحميل البيانات المسروقة في الوقت الفعلي ويسجل الجهاز المخترق بمعرفات فريدة لأغراض التتبع.
سيفيرما”http://www.cyfirma.com/research/inside-firescam-an-information-stealer-with-spyware-capabilities/” الهدف=”_blank” rel=”nofollow noopener”> التقارير يتم تخزين البيانات المسروقة في قاعدة البيانات مؤقتًا فقط ثم يتم مسحها، على الأرجح بعد أن يقوم ممثلو التهديد بتصفيتها للحصول على معلومات قيمة ونسخها إلى موقع مختلف.
تفتح البرامج الضارة أيضًا اتصال WebSocket مستمرًا مع نقطة نهاية Firebase C2 لتنفيذ الأوامر في الوقت الفعلي مثل طلب بيانات محددة، أو تشغيل عمليات تحميل فورية إلى قاعدة بيانات Firebase، أو تنزيل حمولات إضافية وتنفيذها، أو ضبط معلمات المراقبة.
يمكن لـ FireScam أيضًا مراقبة التغييرات في نشاط الشاشة، والتقاط أحداث التشغيل/الإيقاف وتسجيل التطبيق النشط في ذلك الوقت بالإضافة إلى بيانات النشاط للأحداث التي تستمر لأكثر من 1000 مللي ثانية.
وتقوم البرمجيات الخبيثة أيضًا بمراقبة أي معاملات للتجارة الإلكترونية بدقة، وتحاول التقاط البيانات المالية الحساسة.
أي شيء يكتبه المستخدم، ويسحبه ويسقطه، وينسخه إلى الحافظة، ويعترض حتى البيانات المملوءة تلقائيًا من مديري كلمات المرور أو التبادلات بين التطبيقات، وتصنيفها، وتسربها إلى جهات التهديد.
المصدر: سيفيرما
على الرغم من أن Cyfirma ليس لديها أي تلميحات تشير إلى مشغلي FireScam، إلا أن الباحثين يقولون إن البرمجيات الخبيثة عبارة عن “sophisticated and multifaceted threat” الذي – التي “employs advanced evasion techniques.”
توصي الشركة المستخدمين بتوخي الحذر عند فتح الملفات من مصادر غير موثوقة أو عند النقر على روابط غير مألوفة.