Se ha descubierto un malware que roba información de Android llamado FireScam, que se hace pasar por una versión premium de la aplicación de mensajería Telegram para robar datos y mantener un control remoto persistente sobre los dispositivos comprometidos.
«Disfrazada como una aplicación falsa ‘Telegram Premium’, se distribuye a través de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore, una popular tienda de aplicaciones en la Federación Rusa», dijo Cyfirma , describiéndola como una «amenaza sofisticada y multifacética».
«El malware emplea un proceso de infección de varias etapas, que comienza con un APK descargado y realiza amplias actividades de vigilancia una vez instalado».
El sitio de phishing en cuestión, rustore-apk.github[.]io, imita a RuStore, una tienda de aplicaciones lanzada por el gigante tecnológico ruso VK en el país, y está diseñado para entregar un archivo APK («GetAppsRu.apk»).
Una vez instalado, el cuentagotas actúa como un vehículo de entrega para la carga útil principal, que es responsable de exfiltrar datos confidenciales, incluidas notificaciones, mensajes y otros datos de la aplicación, a un punto final de Firebase Realtime Database.
La aplicación dropper solicita varios permisos, incluida la capacidad de escribir en almacenamiento externo e instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android infectados que ejecutan Android 8 y versiones posteriores.
«El permiso ENFORCE_UPDATE_OWNERSHIP restringe las actualizaciones de la aplicación al propietario designado de la misma. El instalador inicial de una aplicación puede declararse a sí mismo como el ‘propietario de la actualización’, controlando así las actualizaciones de la aplicación», señaló Cyfirma.
«Este mecanismo garantiza que los intentos de actualización por parte de otros instaladores requieran la aprobación del usuario antes de continuar. Al designarse como el propietario de la actualización, una aplicación maliciosa puede evitar actualizaciones legítimas de otras fuentes, manteniendo así su persistencia en el dispositivo».
FireScam emplea diversas técnicas de ofuscación y antianálisis para evadir su detección. También controla las notificaciones entrantes, los cambios en el estado de la pantalla, las transacciones de comercio electrónico, el contenido del portapapeles y la actividad del usuario para recopilar información de interés. Otra función notable es su capacidad para descargar y procesar datos de imágenes desde una URL específica.
La aplicación fraudulenta Telegram Premium, al iniciarse, solicita además el permiso de los usuarios para acceder a listas de contactos, registros de llamadas y mensajes SMS, tras lo cual se muestra una página de inicio de sesión para el sitio web legítimo de Telegram a través de WebView para robar las credenciales. El proceso de recopilación de datos se inicia independientemente de si la víctima inicia sesión o no.
Por último, registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener un acceso encubierto, una señal de las amplias capacidades de monitoreo del malware. El malware también establece simultáneamente una conexión WebSocket con su servidor de comando y control (C2) para la exfiltración de datos y actividades posteriores.
Cyfirma dijo que el dominio de phishing también albergaba otro artefacto malicioso llamado CDEK, que probablemente sea una referencia a un servicio de seguimiento de paquetes y entregas con sede en Rusia. Sin embargo, la empresa de ciberseguridad dijo que no pudo obtener el artefacto en el momento del análisis.
Actualmente no está claro quiénes son los operadores ni cómo se dirige a los usuarios a estos enlaces, ni si se trata de técnicas de phishing por SMS o de publicidad maliciosa.
«Al imitar plataformas legítimas como la tienda de aplicaciones RuStore, estos sitios web maliciosos explotan la confianza de los usuarios para engañarlos y hacer que descarguen e instalen aplicaciones falsas», afirmó Cyfirma.
«FireScam lleva a cabo sus actividades maliciosas, incluida la exfiltración y vigilancia de datos, lo que demuestra aún más la eficacia de los métodos de distribución basados en phishing para infectar dispositivos y evadir la detección».
Fuente y redacción: thehackernews.com
