POZOR! Kampaň hackerov FireScam maskuje vírus za obľúbenú aplikáciu medzi Slovákmi
Hackeri šíria vírus „FireScam“ cez falošnú aplikáciu Telegram Premium. Ide o sofistikovaný spyware, ktorý je v telefóne náročné odhaliť.
Natrafiť dnes na podvod je oveľa jednoduchšie, ako tomu bolo niekoľko rokov dozadu. Bezpochyby k tomu dopomáha aj umelá inteligencia, ktorá vie hackerom uľahčiť prácu.
Dovoľ nám, dať ti do pozornosti ďalší online podvod, na ktorý upozorňujú bezpečnostní experti z cyfirma.com.
Pozor na prémiovú aplikáciu Telegramu
Možno používaš už Telegram, prípadne rozmýšľaš nad tým, že ho vyskúšaš. Ak spadáš do jednej z týchto dvoch skupín, tak saj ty sa môžeš stať obeťou nového útoku.
Hackeri prišli s novou kampaňou, ktorú bezpečnostní analytici nazvali FireScam. Útočníci s cieľom, aby sa ti dostali do telefónu, šíria falošnú prémiovú aplikáciu „Telegram Premium“, pričom cielia primárne na Android používateľov.
Podvod sa šíri cez phishing
Útočníci škodlivú aplikáciu šíria cez phishingové stránky, častokrát hosťované na platforme github.io. Akonáhle ťa dostanú na podvodný web (ktorý na prvý pohľad často vyzerá ako RuStore, obchod s aplikáciami pre Android) a ty si stiahneš aplikáciu, tak si do zariadenia stiahneš „dropper“. Ide o techniku, kedy si stiahneš do zariadenia regulárnu aplikáciu, no tá otvorí dvere do tvojho telefónu. Následne ti do zariadenia stiahnu vírus či iný škodlivý softvér.
Neprehliadni
FireScam využíva viacstupňový proces infekcie, kde dropper APK zohráva kľúčovú úlohu. Ten inštaluje hlavnú škodlivú aplikáciu maskovanú ako „Telegram Premium.“
Vírus je nesmierne sofistikovaný. Dokáže zo zariadenia vydolovať kvantum informácií
Tento škodlivý softvér je pomerne sofistikovaný. Medzi jeho schopnosti patrí kradnúť citlivé informácie, ako sú napríklad notifikácie, správy či údaje z aplikácií. Monitoruje tiež širokú škálu aktivít v mobile vrátane zmien stavu obrazovky, transakcií, schránky (clipboardu) a interakcie používateľa so zariadením. Dokáže dokonca zachytiť USSD odpovede (pozn. ide o textové správy, ktoré slúžia na komunikáciu medzi mobilným zariadením a mobilnou sieťou operátora), či údaje o e-commerce transakciách. Tieto informácie následne posiela útočníkom.
„Primárnym cieľom je krádež citlivých údajov, narušenie súkromia používateľov a sledovanie ich aktivít.“
Jeho detekcia je nesmierne náročnou
Nebezpečné na tomto podvode je, že FireScam využíva legitímne služby, ako je Firebase, na komunikáciu a exfiltráciu dát, čím sa vyhýba tradičným bezpečnostným nástrojom. Tieto informácie, ktoré FireScam ukradne, ukladá do Firebase Realtime Database (pozn. ide o cloudovú databázu, ktorá umožňuje aplikáciám ukladať a synchronizovať dáta v reálnom čase).
„Firebase sa používa ako úložisko pre tieto dáta, pričom umožňuje nepretržitú synchronizáciu medzi malvérom a útočníkmi.“
FireScam ale neuchováva tieto údaje natrvalo v databáze. Po tom, čo sú údaje odoslané a filtrované, sú z Firebase databázy odstránené, čo pomáha malvéru vyhnúť sa detekcii pri analýze, pretože údaje sú len dočasne prítomné.
Firebase tiež slúži ako command-and-control kanál na prijímanie príkazov a ďalších škodlivých payloadov.
Tiež dokáže rozpoznať, či beží vo virtualizovanom prostredí, čím zabraňuje analýze v kontrolovaných podmienkach. Čerešničkou na torte je, že využíva takzvaný DexGuard, čo umožňuje malware vyhnúť sa detekcii. Ide o nástroj, ktorý má zvyšovať bezpečnosť aplikácií, no útočníci ho môžu zneužiť na ochranu škodlivého kódu pred analýzou. V tomto prípade bol DexGuard použitý na obfuskáciu (napr. ak zistil, že sa nachádza v kontrolovanom prostredí, deaktivoval svoje škodlivé funkcie, aby zabránil odhaleniu) a šifrovanie kódu malvéru (napr. URL adresy Firebase, IP adresy, príkazy a podobne, boli šifrované, aby ich nebolo možné priamo vidieť v kóde APK súboru).
Aj v tomto prípade platí, aby si sa vyhol infekcii telefónu, tak je nevyhnutné sťahovať aplikácie len z overených zdrojov a dávať si pozor na povolenia, ktoré aplikáciám udeľujeme.
Komentáre