Новый Век

Специалисты ИБ-компании Cyfirma выявили вредоносное ПО FireScam, целью которого является кража данных пользователей Android-устройств. Оно маскируется под приложение Telegram Premium и распространяется через страницу на GitHub, имитирующую отечественный магазин приложений RuStore.
По словам экспертов, имитирующая RuStore вредоносная страница загружала на устройства жертв приложение под названием «GetAppsRu.apk», защищенное от обнаружения средствами защиты Android.

После установки программа получала необходимые разрешения для сканирования установленных приложений и доступа к хранилищу устройства, а также разрешение на загрузку дополнительных пакетов. Далее программа устанавливала основной вредонос «Telegram_Premium.apk», который запрашивал доступ к отслеживанию уведомлений, буферу обмена, содержимому SMS-сообщений и другим данным.
При этом приложение устанавливает связь с базой данных Firebase Realtime Database, куда передается похищенная информация. FireScam также поддерживает постоянное соединение с удаленным сервером, что позволяет злоумышленникам выполнять различные команды на устройстве жертвы, включая запрос данных, настройку параметров слежения и загрузку дополнительного вредоносного ПО. Кроме того, приложение отслеживает активность на экране устройства и может перехватывать платежные данные.

Подпишись на «Новый век»

www.group-telegram.com/us/Wek_ru.com/28533

597 viewsJan 13 at 11:13

Специалисты ИБ-компании Cyfirma выявили вредоносное ПО FireScam, целью которого является кража данных пользователей Android-устройств. Оно маскируется под приложение Telegram Premium и распространяется через страницу на GitHub, имитирующую отечественный магазин приложений RuStore.
По словам экспертов, имитирующая RuStore вредоносная страница загружала на устройства жертв приложение под названием «GetAppsRu.apk», защищенное от обнаружения средствами защиты Android.

После установки программа получала необходимые разрешения для сканирования установленных приложений и доступа к хранилищу устройства, а также разрешение на загрузку дополнительных пакетов. Далее программа устанавливала основной вредонос «Telegram_Premium.apk», который запрашивал доступ к отслеживанию уведомлений, буферу обмена, содержимому SMS-сообщений и другим данным.
При этом приложение устанавливает связь с базой данных Firebase Realtime Database, куда передается похищенная информация. FireScam также поддерживает постоянное соединение с удаленным сервером, что позволяет злоумышленникам выполнять различные команды на устройстве жертвы, включая запрос данных, настройку параметров слежения и загрузку дополнительного вредоносного ПО. Кроме того, приложение отслеживает активность на экране устройства и может перехватывать платежные данные.

Подпишись на «Новый век»

BY Новый Век