.
atualizado O malware Android apelidado de FireScam faz as pessoas pensarem que estão baixando um aplicativo Telegram Premium que monitora furtivamente as notificações, mensagens de texto e atividades de aplicativos das vítimas, enquanto rouba informações confidenciais por meio dos serviços Firebase.
Os pesquisadores da Cyfirma identificaram o novo infostealer com recursos de spyware e disseram que o malware é distribuído por meio de um site de phishing hospedado no GitHub.io que imita a RuStore, uma popular loja de aplicativos da Federação Russa.
O site de phishing oferece um conta-gotas chamado ru[.]loja[.]instalador e instala como GetAppsRu[.]APK. Quando iniciado, solicita aos usuários que instalem o Telegram Premium.
Claro, este não é realmente o aplicativo de mensagens, mas sim o malware FireScam, e tem como alvo dispositivos com Android 8 a 15.
Uma vez instalado, ele solicita uma série de permissões que permitem consultar e listar todos os aplicativos instalados no dispositivo, acessar e modificar o armazenamento externo e instalar e excluir outros aplicativos.
Além disso, uma das permissões designa o criminoso que instalou o FireScam como o “proprietário da atualização” do aplicativo, evitando assim atualizações legítimas de outras fontes e permitindo que o malware mantenha persistência no dispositivo da vítima.
Os invasores podem usar o malware infostealer/vigilância para interceptar e roubar dispositivos confidenciais e informações pessoais, incluindo notificações, mensagens, outros dados de aplicativos, conteúdo da área de transferência e respostas USSD, que podem incluir saldos de contas, transações móveis ou dados relacionados à rede.
“Esses logs são então exfiltrados para um banco de dados Firebase, concedendo aos invasores acesso remoto aos detalhes capturados sem o conhecimento do usuário”, observaram os pesquisadores da Cyfirma.
Os dados roubados são armazenados temporariamente no Firebase Realtime Database, filtrados em busca de informações valiosas e posteriormente removidos.
Este uso de serviços legítimos – especificamente o Firebase, neste caso, para exfiltração de dados e comunicações de comando e controle (C2) – também ajuda o malware a escapar da detecção e é uma tática cada vez mais usada para disfarçar tráfego e cargas maliciosas.
FireScam registra um serviço para receber notificações do Firebase Cloud Messaging (FCM). Sempre que o aplicativo recebe uma notificação push do Firebase, isso aciona o serviço de mensagens.
Isso pode ser usado para receber comandos remotos do servidor C2 e executar ações específicas, além de entregar silenciosamente cargas maliciosas adicionais que podem ser baixadas e instaladas remotamente.
“O aplicativo também pode exfiltrar dados confidenciais do dispositivo para um servidor remoto sem o conhecimento do usuário, mantendo comunicação contínua com o servidor remoto mesmo quando o aplicativo não está ativamente em primeiro plano”, alertaram os pesquisadores.
Essa comunicação também torna mais difícil a detecção pelas ferramentas de segurança. Além disso, o malware traça o perfil do dispositivo, o que permite adaptar seu comportamento a ambientes específicos e contornar ainda mais os controles de segurança. ®
Atualizado para adicionar às 19h15 UTC de 10 de janeiro de 2025
Um porta-voz do Google disse O Registro na sexta-feira, “Com base em nossa detecção atual, nenhum aplicativo contendo esse malware está presente no Google Play.”
“Os usuários do Android são automaticamente protegidos contra versões conhecidas deste malware pelo Google Play Protect, que está ativado por padrão em dispositivos Android com Google Play Services. O Google Play Protect pode avisar os usuários ou bloquear aplicativos conhecidos por exibirem comportamento malicioso, mesmo quando esses aplicativos vêm de fontes fora do Play”, disse o porta-voz.
.
