Ciberseguridad 360 | El malware FireScam se disfraza de Telegram Premium para vulnerar dispositivos Android

Se ha descubierto un malware de robo de informaci�n para Android llamado FireScam que se hace pasar por una versi�n premium de la aplicaci�n de mensajer�a Telegram para robar datos y mantener un control remoto persistente sobre los dispositivos comprometidos.

�Disfrazado como una falsa aplicaci�n 'Telegram Premium, se distribuye a trav�s de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore - una popular tienda de aplicaciones en la Federaci�n Rusa�, dijo Cyfirma, describi�ndolo como una ?amenaza sofisticada y multifac�tica?.

�El malware emplea un proceso de infecci�n de varias etapas, comenzando con un APK dropper, y realiza amplias actividades de vigilancia una vez instalado.�

El sitio de phishing en cuesti�n, rustore-apk.github[.]io, imita RuStore, una tienda de aplicaciones lanzada por el gigante tecnol�gico ruso VK en el pa�s, y est� dise�ado para entregar un archivo APK dropper (�GetAppsRu.apk�).

Una vez instalado, el dropper act�a como un veh�culo de entrega para la carga �til principal, que es responsable de la filtraci�n de datos confidenciales, incluyendo notificaciones, mensajes y otros datos de la aplicaci�n, a un punto final de Firebase Realtime Database.

La aplicaci�n dropper solicita varios permisos, incluida la capacidad de escribir en almacenamiento externo e instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android infectados que ejecuten Android 8 y versiones posteriores.

�El permiso ENFORCE_UPDATE_OWNERSHIP restringe las actualizaciones de aplicaciones al propietario designado de la aplicaci�n. El instalador inicial de una aplicaci�n puede declararse 'propietario de la actualizaci�n', controlando as� las actualizaciones de la aplicaci�n�, se�ala Cyfirma.

�Este mecanismo garantiza que los intentos de actualizaci�n por parte de otros instaladores requieran la aprobaci�n del usuario antes de proceder. Al designarse a s� misma como propietaria de las actualizaciones, una app maliciosa puede impedir las actualizaciones leg�timas de otras fuentes, manteniendo as� su persistencia en el dispositivo.�

FireScam emplea varias t�cnicas de ofuscaci�n y antian�lisis para eludir la detecci�n. Tambi�n vigila las notificaciones entrantes, los cambios de estado de la pantalla, las transacciones de comercio electr�nico, el contenido del portapapeles y la actividad del usuario para recopilar informaci�n de inter�s. Otra funci�n destacable es su capacidad para descargar y procesar datos de im�genes desde una URL especificada.

Una vez iniciada, la aplicaci�n fraudulenta Telegram Premium solicita permiso a los usuarios para acceder a las listas de contactos, registros de llamadas y mensajes SMS, tras lo cual se muestra una p�gina de inicio de sesi�n para el sitio web leg�timo de Telegram a trav�s de una WebView para robar las credenciales. El proceso de recopilaci�n de datos se inicia independientemente de si la v�ctima inicia sesi�n o no.

Por �ltimo, registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener un acceso encubierto, se�al de las amplias capacidades de monitorizaci�n del malware. El malware tambi�n establece simult�neamente una conexi�n WebSocket con su servidor de mando y control (C2) para la exfiltraci�n de datos y actividades posteriores.

Cyfirma dijo que el dominio de phishing tambi�n alojaba otro artefacto malicioso llamado CDEK, que probablemente hace referencia a un servicio de seguimiento de paquetes y entregas con sede en Rusia. Sin embargo, la empresa de ciberseguridad dijo que no pudo obtener el artefacto en el momento del an�lisis.

Actualmente no est� claro qui�nes son los operadores ni c�mo se dirige a los usuarios a estos enlaces, y si se trata de t�cnicas de phishing o malvertising por SMS.

�Al imitar plataformas leg�timas como la tienda de aplicaciones RuStore, estos sitios web maliciosos se aprovechan de la confianza de los usuarios para enga�ar a las personas para que descarguen e instalen aplicaciones falsas�, afirma Cyfirma.

�FireScam lleva a cabo sus actividades maliciosas, incluyendo la exfiltraci�n de datos y la vigilancia, lo que demuestra a�n m�s la eficacia de los m�todos de distribuci�n basados en phishing para infectar dispositivos y evadir la detecci�n.�

Fuente: thehackernews