Mobile Malware „FireScam“
Eine neu identifizierte Android-Bedrohung namens FireScam wurde aufgedeckt. Sie tarnt sich als verbesserte Version der Messaging-App Telegram. Diese betrügerische Taktik ermöglicht es der bedrohlichen Software, vertrauliche Benutzerdaten abzugreifen und dauerhaften Fernzugriff auf kompromittierte Geräte aufrechtzuerhalten.
Inhaltsverzeichnis
Eine clevere Tarnung: Gefälschte Telegram Premium-Anwendung
FireScam wird unter dem Deckmantel einer gefälschten „Telegram Premium“-Anwendung verbreitet. Es verbreitet sich über eine Phishing-Website, die auf GitHub.io gehostet wird und sich fälschlicherweise als RuStore ausgibt – ein bekannter App-Marktplatz in Russland. Sicherheitsanalysten beschreiben diese mobile Bedrohung als komplex und hochgradig anpassungsfähig. Nach der Installation durchläuft sie einen mehrstufigen Infektionsprozess, der mit einem Dropper-APK beginnt, das eine umfassende Überwachung ermöglicht.
Die betrügerische Site rustore-apk.github.io ahmt die Benutzeroberfläche von RuStore nach und soll Benutzer dazu verleiten, eine Dropper-APK-Datei namens „GetAppsRu.apk“ herunterzuladen.
Die Rolle des Droppers beim FireScam-Angriff
Nach der Installation dient der Dropper als Übermittlungsmechanismus für die primäre Nutzlast. Diese Kernkomponente ist für das Sammeln und Übertragen vertraulicher Informationen – wie Nachrichten, Benachrichtigungen und Anwendungsdaten – an eine Firebase-Echtzeitdatenbank verantwortlich.
Um seine Kontrolle zu stärken, fordert der Dropper mehrere Berechtigungen an, darunter den Zugriff auf externen Speicher und die Möglichkeit, Anwendungen auf Android-Geräten mit Version 8 und höher zu installieren, zu aktualisieren oder zu entfernen.
Ein besonders besorgniserregender Aspekt von FireScam ist die Ausnutzung der Berechtigung ENFORCE_UPDATE_OWNERSHIP. Diese Android-Funktion ermöglicht es dem ursprünglichen Installer einer Anwendung, ihr „Update-Eigentümer“ zu werden, was bedeutet, dass nur der designierte Eigentümer Updates initiieren kann. Durch die Ausnutzung dieses Mechanismus kann FireScam legitime Updates aus anderen Quellen blockieren und so sicherstellen, dass es weiterhin auf dem infizierten Gerät vorhanden ist.
Erweiterte Ausweich- und Überwachungsfunktionen
FireScam verwendet Verschleierungstechniken, um der Erkennung und Analyse zu entgehen. Es überwacht aktiv eingehende Benachrichtigungen, Änderungen des Bildschirmstatus, Benutzeraktivitäten, Inhalte der Zwischenablage und sogar Online-Transaktionen. Die Bedrohung kann auch Bilder von einem Remote-Server herunterladen und verarbeiten, was ihren Überwachungsmöglichkeiten eine weitere Ebene hinzufügt.
Beim Start fordert die betrügerische Telegram Premium-App die Berechtigung zum Zugriff auf die Kontakte, Anrufprotokolle und SMS-Nachrichten des Benutzers an. Anschließend wird eine Anmeldeseite angezeigt, die die offizielle Telegram-Website über eine WebView spiegelt und versucht, Benutzeranmeldeinformationen zu erfassen. Der Datenerfassungsprozess wird jedoch auch dann ausgelöst, wenn der Benutzer seine Anmeldedaten nicht eingibt.
Dauerhaften Fernzugriff aufrechterhalten
Eine der heimtückischeren Funktionen von FireScam ist die Möglichkeit, sich für Firebase Cloud Messaging (FCM)-Benachrichtigungen zu registrieren. Dadurch kann die Bedrohung Remote-Anweisungen empfangen und kontinuierlich verdeckten Zugriff auf das Gerät behalten. Darüber hinaus stellt es eine WebSocket-Verbindung mit seinem Command-and-Control-Server (C2) her, um Datendiebstahl zu erleichtern und weitere unsichere Aktionen auszuführen.
Andere schädliche Bestandteile und unbeantwortete Fragen
Die Forscher identifizierten außerdem ein weiteres schädliches Artefakt, das auf der Phishing-Domain gehostet wird und als „CDEK“ bezeichnet wird. Dieser Name bezieht sich wahrscheinlich auf einen russischen Logistik- und Paketverfolgungsdienst, was auf eine breitere bösartige Aktivität hindeutet, die über FireScam hinausgeht.
Es bleibt unklar, wer hinter dieser Operation steckt oder wie Benutzer auf diese Phishing-Links umgeleitet werden. Mögliche Taktiken könnten SMS-Phishing (Smishing) oder Malvertising-Kampagnen sein. Indem sie legitime Dienste wie RuStore imitieren, manipulieren diese betrügerischen Websites das Vertrauen der Benutzer, um Einzelpersonen zum Herunterladen betrügerischer Anwendungen zu bewegen.
Die Fähigkeit von FireScam, Daten zu exfiltrieren und Überwachungen durchzuführen, unterstreicht die Risiken, die mit Phishing-basierten Verbreitungsmethoden verbunden sind. Dieser Fall verdeutlicht die anhaltenden Herausforderungen beim Schutz von Android-Benutzern vor Bedrohungen, die Social Engineering und Vertrauen in bekannte Plattformen ausnutzen.
