Эксперты компании Cyfirma, специализирующейся на сфере IT-безопасности, рассказали о новом вредоносном приложении FireScam, нацеленном на Android-пользователей из России. Оно маскируется под Telegram и распространяется через фишинговые сайты, имитирующие магазин RuStore.
Вредонос в формате APK распространяется под видом альтернативного клиента Telegram через фишинговые сайты, имитирующие RuStore. После установки она получает разрешения на доступ к памяти устройства и устанавливает дополнительные инструменты для кражи пользовательских данных.
При первом запуске «мессенджер» открывает встроенный сайт со страницей входа в настоящий Telegram и перехватывает данные учётной записи. Затем он регистрирует взломанное устройство в хакерской базе данных для отслеживания с помощью уникальных идентификаторов и открывает соединение WebSocket с конечной точкой Firebase C2 для выполнения команд в режиме реального времени вплоть до установки других программ на смартфоне жертвы.
Приложение умеет отслеживать изменения активности экрана, знает, какая программа открыта в данный момент, регистрирует все платёжные транзакции и перехватывает автоматически введённые пароли. Специалисты Cyfirma признали вредонос «сложной и многогранной угрозой» и порекомендовали пользователям соблюдать осторожность при открытии файлов из потенциально ненадёжных источников или при переходе по незнакомым ссылкам.