Новий вірус поширюється під виглядом Telegram Premium: що потрібно знати і як уберегтися

Що потрібно знати

Нове шкідливе програмне забезпечення під назвою FireScam поширюється серед користувачів смартфонів на Android. Воно подається як нібито преміум-версія додатка Telegram для тих, хто не хоче платити, але хотів би мати всі функції платної підписки. Користувачі можуть завантажити фейковий Telegram Premium зі сторінки на GitHub, яка копіює дизайн російського магазину застосунків RuStore, аналога Play Маркета, повідомляє 24 Канал з посиланням на BleepingComputer.

RuStore був запущений у травні 2022 року російською компанією, яка сьогодні володіє "ВКонтактє". Зробили це як відповідь на запровадження західних санкцій, які вплинули на доступ російських користувачів до мобільного програмного забезпечення, і за підтримки російського уряду. На RuStore розміщуються додатки, які відповідають місцевому законодавству.

За даними дослідницької компанії Cyfirma, яка займається управлінням загрозами, шкідливе ПЗ використовує DexGuard, щоб маскувати свою діяльність, уникаючи виявлення антивірусними програмами. Прихований код отримує дозволи, які допомагають йому ідентифікувати встановлені програми, надають доступ до пам'яті пристрою і встановлюють додаткові пакети. Основний додаток "Telegram Premium.apk" запитує дозволи на моніторинг сповіщень, даних буфера обміну, SMS, телефонії та інших сервісів.

Можливості FireScam

Після запуску підробного Telegram вам, звісно ж, доведеться здійснити вхід. Тут ви вводите свої облікові дані, які відразу ж потрапляють до хакерів. FireScam встановлює зв'язок з базою даних Firebase у режимі реального часу, а також підтягує дані з вашого реального акаунта в Telegram. Ваш пристрій при цьому реєструється в системі з унікальними ідентифікаторами. Все, що міститься у ваших діалогах і сховищах, тим часом тепер доступне для зловмисників.

Cyfirma повідомляє, що викрадені дані зберігаються в базі даних лише тимчасово, а потім стираються. Імовірно, це робиться після того, як хакери переглянуть весь контент і повідомлення на предмет чогось цінного й цікавого. Якщо такого не буде, їм немає сенсу зберігати всю цю інформацію, забиваючи пам'ять на своєму сервері. Однак якщо вони знайдуть щось цікаве, доля жертви може буде зовсім іншою.

Шкідливе програмне забезпечення також відкриває постійне з'єднання з кінцевою точкою Firebase C2 для виконання команд у режимі реального часу, таких як запит певних даних, запуск негайного завантаження в базу даних Firebase, завантаження і виконання додаткового корисного навантаження або коригування параметрів спостереження.
FireScam також може відстежувати зміни активності на екрані, фіксувати події ввімкнення/вимкнення та реєструвати активні в цей час програми, а також дані про активність для подій тривалістю понад 1000 мілісекунд.
Крім того, вірус ретельно відстежує будь-які транзакції електронної комерції, намагаючись перехопити конфіденційні фінансові дані.

Усе, що користувач вводить, перетягує та копіює в буфер обміну буде видимим для хакерів. Вірус перехоплює навіть дані, які автоматично заповнюються з менеджерів паролів, а також все, чим обмінюють додатки без вашої участі.

Хто за цим стоїть

Cyfirma не має жодних натяків на операторів FireScam. Однак дослідники стверджують, що це шкідливе програмне забезпечення є "складною і багатогранною загрозою", яка "використовує передові методи ухилення". Тож навряд чи за цим стоїть якась команда любителів, які просто вирішили погратися.