Studiuesit e Cyfirma kanë zbuluar një malware të ri Android, të quajtur FireScam, që po shpërndahet përmes një aplikacioni të rremë Telegram Premium. Ky i fundit u publikua në një faqe të ngjashme me RuStore, dyqani i lançuar në Rusi nga VKontakte në vitin 2022. Qëllimi i kriminelëve kibernetikë është të vjedhin të dhëna të ndjeshme nga telefonat inteligjentë të përdoruesve. Google ka rekomanduar aktivizimin e funksionit Play Protect.
FireScam është infostealer dhe spyware
Ekspertët e Cyfirma gjetën skedarin APK të aplikacionit të rremë Telegram Premium në një faqe të organizuar nga GitHub (domain github.io). Pamja është e ngjashme me RuStore, një dyqan alternativ i Google Play Store i prezantuar në Rusi në maj 2022 pas sanksioneve perëndimore.
Nga dyqani i rremë, skedari GetAppsRu.apk shkarkohet. Ky është një pikatore që kërkon leje të ndryshme, duke përfshirë aksesin në aplikacionet e instaluara dhe hapësirën ruajtëse. Më pas instaloni skedarin Telegram Premium.apk i cili kërkon leje shtesë.
Kur hapni aplikacionin, shfaqet faqja tradicionale e hyrjes në Telegram. Të dhënat e futura nga viktima që nuk dyshon dërgohen menjëherë në një bazë të dhënash në kohë reale të Firebase. Një lidhje WebSocket hapet gjithashtu në një pikë fundore Firebase C2 për ekzekutimin e komandës në kohë reale.
FireScam mund të monitorojë aktivitetin e ekranit dhe çdo transaksion në faqet e tregtisë elektronike për të kapur të dhënat e pagesave. Ai gjithashtu mund të hyjë në kujtesën e fragmenteve, mesazhet dhe njoftimet. Ai gjithashtu përgjon kredencialet e kopjuara nga një menaxher fjalëkalimi. Malware kështu kombinon funksionalitetin e infostealer dhe spyware.
Google ka konfirmuar se aplikacioni i rremë nuk është i disponueshëm në Play Store. Kompania Mountain View sugjeron aktivizimin e funksionit Play Protect, i cili gjithashtu bllokon aplikacionet e shkarkuara nga burime të tjera.
Discussion about this post