一种新发现的名为“FireScam”的 Android 恶意软件以高级 Telegram 应用程序为幌子,通过托管在 GitHub 上的网络钓鱼网站进行传播,这些网站模仿俄罗斯的移动应用程序市场 RuStore。RuStore 由 VKontakte 于 2022 年 5 月在俄罗斯数字发展部的支持下推出,由于西方制裁,它是作为 Google Play 和 Apple App Store 的替代品而建立的。来源。Cyfirma 的研究人员发现,恶意 GitHub 页面首先提供了一个名为 GetAppsRu.apk 的 dropper 模块,该模块经过混淆以逃避检测并访问设备的存储和已安装的应用程序。然后,它会安装主要的恶意软件有效载荷 Telegram Premium.apk,它请求广泛的权限,包括访问通知、剪贴板数据、SMS 和电话服务。激活后,FireScam 会显示一个欺诈性的 Telegram 登录页面以窃取用户凭据,并与 Firebase 实时数据库建立连接以上传被盗数据。受感染的设备会注册唯一标识符进行跟踪,数据会在被过滤并可能复制到其他位置之前临时存储。该恶意软件还维护与 Firebase C2 端点的 WebSocket 连接,以便实时执行命令。
