Un malware Android chiamato FireScam è stato scoperto mentre si mascherava da versione premium dell’app di messaggistica Telegram per rubare dati e mantenere un controllo remoto persistente sui dispositivi compromessi.
FireScam si può considerare il classico caso del “perché pagare se posso scaricare”, quando ci si dimentica che nessuno fa niente per niente.
FireScam: volere le versioni premium gratuite, ma a quale prezzo?
“Mascherato da una falsa app ‘Telegram Premium’, viene distribuito tramite un sito di phishing ospitato su GitHub.io che impersona RuStore, un popolare negozio di app nella Federazione Russa“, ha dichiarato Cyfirma, definendolo una “minaccia sofisticata e sfaccettata” e ha successivamente aggiunto che: “Il malware impiega un processo di infezione a più fasi, partendo da un APK dropper, e svolge attività di sorveglianza estese una volta installato.”
Il sito di phishing in questione, rustore-apk.github[.]io, imita RuStore, un negozio di app lanciato dal gigante tecnologico russo VK nel paese, ed è progettato per fornire un file APK dropper (“GetAppsRu.apk”).
FireScam e il suo modus operandi
Una volta installato, il dropper funge da veicolo di consegna per il payload principale, che è responsabile dell’esfiltrazione di dati sensibili, incluse notifiche, messaggi e altri dati delle app, verso un endpoint di Firebase Realtime Database.
L’app dropper richiede diverse autorizzazioni, tra cui la possibilità di scrivere sulla memoria esterna e installare, aggiornare o eliminare app arbitrarie sui dispositivi Android infetti che eseguono Android 8 e versioni successive.
“Il permesso ENFORCE_UPDATE_OWNERSHIP limita gli aggiornamenti delle app al proprietario designato dell’app. L’installatore iniziale di un’app può dichiararsi ‘proprietario dell’aggiornamento’, controllando così gli aggiornamenti dell’app“, ha osservato Cyfirma, aggiungendo: “Questo meccanismo garantisce che i tentativi di aggiornamento da parte di altri installatori richiedano l’approvazione dell’utente prima di procedere. Designandosi come proprietario dell’aggiornamento, un’app maligna può impedire aggiornamenti legittimi da altre fonti, mantenendo così la sua persistenza sul dispositivo.”
FireScam impiega varie tecniche di offuscamento e anti-analisi per eludere il rilevamento. Tiene anche traccia delle notifiche in arrivo, dei cambiamenti di stato dello schermo, delle transazioni di e-commerce, del contenuto degli appunti e dell’attività dell’utente per raccogliere informazioni di interesse; un‘altra funzione rilevante è la sua capacità di scaricare e processare dati immagine da un URL specificato.
L’app Telegram Premium fraudolenta, quando viene avviata, richiede ulteriori permessi per accedere alla lista dei contatti, ai registri delle chiamate e ai messaggi SMS, dopodiché viene visualizzata una pagina di login del sito legittimo di Telegram tramite un WebView per rubare le credenziali; il processo di raccolta dei dati viene avviato indipendentemente dal fatto che la vittima acceda o meno.
Come FireScam ruba i dati agli utenti
Infine, registra un servizio per ricevere notifiche Firebase Cloud Messaging (FCM), permettendole di ricevere comandi remoti e mantenere l’accesso nascosto, un segno delle ampie capacità di monitoraggio del malware; il malware stabilisce anche simultaneamente una connessione WebSocket con il suo server di comando e controllo (C2) per l’esfiltrazione dei dati e le attività successive.
Cyfirma ha affermato che il dominio di phishing ospitava anche un altro artefatto maligno chiamato CDEK, che probabilmente fa riferimento a un servizio russo di tracciamento pacchi e consegne, ma la società di sicurezza informatica ha detto di non essere riuscita a ottenere l’artefatto al momento dell’analisi.
Attualmente non è chiaro chi siano gli operatori, né come gli utenti vengano indirizzati a questi link, se tramite phishing via SMS o tecniche di malvertising.
“Imitando piattaforme legittime come il negozio di app RuStore, questi siti di phishing sfruttano la fiducia degli utenti per ingannare le persone inducendole a scaricare e installare app false“, ha dichiarato Cyfirma, concludendo: “FireScam compie le sue attività dannose, inclusi l’esfiltrazione dei dati e la sorveglianza, dimostrando ulteriormente l’efficacia dei metodi di distribuzione basati sul phishing nell’infettare i dispositivi e nel eludere il rilevamento.”