Дослідники з кібербезпеки компанії Cyfirma виявили нове зловмисне програмне забезпечення, що викрадає конфіденційні дані із пристроїв Android, маскуючись під застосунок Telegram Premium. Про це повідомив Forbes.
Відповідно до звіту Cyfirm, шкідливе програмне забезпечення розповсюджується з підробленого сайту розміщеного на GitHub.io, що мімікрує під онлайнмагазин застосунків RuStore, популярний в Російській Федерації.
Сайт підробленого фішингового магазину програм надає дропер (завантажувач - ред.) для встановлення зловмисного програмного забезпечення FireScam, замаскованого під програму Telegram Premium.
Зловмисне програмне забезпечення передає конфіденційні дані, зокрема сповіщення, повідомлення та інші дані програми, до кінцевої точки бази даних Firebase у реальному часі.
Потім FireScam відстежує дії пристрою, включаючи зміни стану екрана, транзакції електронної комерції, активність буфера обміну та залучення користувачів. Сповіщення також фіксуються різними програмами, включно з системними програмами.
«FireScam є прикладом передової тактики, що використовується сучасним шкідливим програмним забезпеченням для уникнення виявлення, крадіжки даних і підтримки постійного контролю над зламаними пристроями», — йдеться у звіті.
Дослідники заявили, що не слід покладатися на те, що зловмисники не почнуть розповсюджувати шкідливе ПЗ поза межами Росії, адже російські кібератаки зазвичай поширюються за кордоном.
«Використовуючи популярність застосунків для обміну повідомленнями та інших широко використовуваних застосунків, FireScam становить значну загрозу для окремих осіб і організацій у всьому світі», — сказано у звіті.
Користувачам Android порекомендували виявляти обережність перед тим, як відкривати файли з ненадійних джерел або натискати незнайомі посилання, використовувати надійне антивірусне програмне забезпечення, оновлювати все програмне забезпечення та зберігатипильність відносно фішингових атак з застосуваннм прийомів соціальної інженерії.
