一种新的 Android恶意软件FireScam被发现,它伪装成 Telegram 的高级版本,并以运行 Android 版本 8-15 的设备为目标。
该恶意软件通过GitHub 上模仿RuStore应用商店的网络钓鱼页面进行分发。
据 Cyfirma的研究人员称 ,GitHub.io 上的一个模仿 RuStore(现已删除)的恶意页面最初为受害者提供了一个名为 GetAppsRu.apk 的植入模块。
然后,该植入程序会提取并安装主要有效负载 Telegram Premium.apk,该有效负载会请求用户授予跟踪通知、剪贴板数据、短信、通话记录等的权限。
执行此操作后,用户会看到一个显示 Telegram 登录页面的 WebView 屏幕。在此页面上输入的凭据最终会落入恶意软件操作者手中。
研究人员写道,FireScam 最终与 Firebase 实时数据库建立连接,实时上传所有被盗数据,并记录受感染的设备,为其分配唯一的 ID 用于跟踪。
在这种情况下,被盗数据仅临时存储在数据库中,然后被删除(大概是在攻击者检查了有价值的信息并将其复制到另一个位置之后)。
此外,恶意软件还与 Firebase 端点建立持久的 WebSocket 连接,以实时执行各种命令。例如,这可能包括对特定数据的请求、立即将数据加载到 Firebase 数据库、加载和运行其他负载或配置监控参数。
此外,FireScam可以通过记录设备启动和关闭事件来跟踪屏幕活动的变化,还可以记录有关活动应用程序和持续超过1000毫秒的事件的数据。
该恶意软件还仔细监控所有金融交易,试图拦截机密数据。因此,FireScam 操作员会接收用户在键盘上键入的所有内容,拖动并复制到剪贴板(包括密码管理器自动插入的数据)。
Cyfirma 分析师指出,同一网络钓鱼域托管了另一个名为 CDEK 的恶意工件,该工件可能与一家同名的俄罗斯物流公司有关。然而,研究人员无法研究这个。
https://www.cyfirma.com/research/inside-firescam-an-information-stealer-with-spyware-capabilities/
原文始发于微信公众号(网络研究观):一种新的安卓恶意软件伪装成 Telegram 的高级版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论