/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fe5d1c3325e501ce4bd9581a17706f3ac.jpg)
Новий вірус для Android маскується під месенджер Telegram і краде дані користувачів
Фахівці компанії Cyfirma, що працює в сфері інформаційної безпеки, виявили нову шкідливу програму, яка отримала назву FireScam і орієнтована на крадіжку даних користувачів Android-пристроїв. Шкідливість маскувалася під фейкову програму Telegram Premium і поширювалася через сторінку на GitHub.
За даними дослідників з Cyfirma, через шкідливу сторінку на пристрій жертви доставлявся APK-дроппер, захищений від виявлення засобами захисту Android. Він отримував дозволи, необхідні для сканування пристрою на предмет встановлених програм, а також доступ до сховища пристрою та дозвіл на завантаження додаткових пакетів. Далі модуль витягував та встановлював основний шкідливість Telegram_Premium.apk, який, у свою чергу, запитував дозвіл на моніторинг повідомлень, даних буфера обміну, вмісту SMS та ін.
При першому запуску вірус відображає сторінку для введення даних, аналогічну до тієї, що можна побачити при авторизації в Telegram. Введені користувачем дані викрадають і після цього використовуються для роботи з месенджером. FireScam також встановлює зв’язок із базою даних Firebase Realtime Database, куди передається викрадена з пристрою жертви інформація. За даними Cyfirma, вкрадені дані зберігаються в базі тимчасово, а після того, як зловмисники їх відфільтровують, видаляються або переносяться в інше місце.
Вірус також встановлює постійне з’єднання з віддаленим сервером, що дозволяє зловмисникам виконувати різні команди на пристрої жертви, включаючи запит певних даних, налаштування додаткових параметрів стеження, завантаження додаткового шкідливого програмного забезпечення. FireScam здатний відстежувати зміни активності на екрані пристрою, фіксуючи різні події тривалістю понад 1000 мс. Вірус ретельно стежить за всіма транзакціями, намагаючись перехопити конфіденційні платіжні дані жертви. Все, що користувач набирає та копіює в буфер обміну, класифікується та передається на віддалений сервер.
Хоча у Cyfirma немає припущень щодо того, хто є оператором нового шкідливої програми, у компанії зазначили, що кампанія є «складною і багаторівневою загрозою», яка «використовує передові методи маскування». Фахівці компанії рекомендують користувачам з обережністю ставитися до файлів, які вони завантажують з потенційно ненадійних джерел.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fa7beacfa47ddcc6ea02f23cbc8543fa6.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F81%2Faa47bf47198f30922aa39bb507f9598e)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F82a375c075e97dd02745ae3218161160.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F81%2F84c689c7de5195dceab9ad87b75947d1)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F68ffaab85541efe25ce7639dd3dd1327.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Faa6969df946fa064c1d17bcd0323ecb6.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fa9d3f691e69cff698f162da6c9c1eb9f.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Fa0a1b8c13824f72abb0a05bff3b9650d.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F74%2F9adb21f165135256a93f85fb477d1047)