HackerNews 编译,转载请注明出处:
一款名为FireScam的安卓信息窃取恶意软件被发现伪装成Telegram消息应用的高级版,以窃取数据并对受感染的设备实施持续的远程控制。
“这款恶意软件伪装成假冒的‘Telegram高级版’应用,通过一个假冒俄罗斯联邦知名应用商店RuStore的GitHub.io托管钓鱼网站进行分发。”网络安全公司Cyfirma表示,这是一款“复杂且多面的威胁”。
“恶意软件采用多阶段感染过程,从投放器APK文件开始,一旦安装,便执行广泛的监控活动。”
该钓鱼网站(rustore-apk.github[.]io)模仿俄罗斯科技巨头VK在该国推出的应用商店RuStore,并设计用于交付投放器APK文件(“GetAppsRu.apk”)。一旦安装,投放器便成为主要有效载荷的传输工具,负责将包括通知、消息和其他应用数据在内的敏感数据外泄到Firebase实时数据库端点。
投放器应用请求多项权限,包括在Android 8及更高版本的受感染安卓设备上写入外部存储以及安装、更新或删除任意应用的能力。
“ENFORCE_UPDATE_OWNERSHIP权限将应用更新限制为应用的指定所有者。应用的初始安装程序可以声明自己是‘更新所有者’,从而控制应用的更新。”Cyfirma指出。
“此机制确保其他安装程序在尝试更新前需要用户批准。通过将自己指定为更新所有者,恶意应用可以防止来自其他来源的合法更新,从而在设备上保持其持久性。”
FireScam采用多种混淆和防分析技术来逃避检测。它还监控传入的通知、屏幕状态变化、电子商务交易、剪贴板内容和用户活动,以收集感兴趣的信息。另一个值得注意的功能是其能够从指定URL下载和处理图像数据。
当这个假冒的Telegram高级版应用启动时,它会进一步请求用户访问联系人列表、通话记录和短信消息的权限,然后通过WebView显示Telegram官方网站的登录页面以窃取凭据。无论受害者是否登录,数据收集过程都会启动。
最后,它注册一个服务以接收Firebase云消息(FCM)通知,从而能够接收远程命令并保持隐蔽访问——这是恶意软件广泛监控能力的一个迹象。同时,恶意软件还与其命令和控制(C2)服务器建立WebSocket连接,用于数据外泄和后续活动。
Cyfirma表示,该钓鱼域名还托管了另一个名为CDEK的恶意程序,这可能是指一家俄罗斯包裹和递送跟踪服务。然而,网络安全公司表示,在分析时未能获得该程序。
目前尚不清楚操作者是谁,用户是如何被引导到这些链接的,以及是否涉及短信钓鱼或恶意广告技术。
“通过模仿合法平台(如RuStore应用商店),这些恶意网站利用用户信任欺骗个人下载并安装假冒应用。”Cyfirma表示。
“FireScam执行其恶意活动,包括数据外泄和监控,进一步证明了基于钓鱼的分发方法在感染设备和逃避检测方面的有效性。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
