O Malware FireScam Explora o Aplicativo Premium do Telegram para Roubar Dados do Usuário

Uma nova cepa de malware para Android, chamada FireScam, está visando usuários ao se passar por uma aplicação Telegram Premium, conforme relatado inicialmente pelos especialistas em cibersegurança da CYFIRMA.

Por meio de um site de phishing projetado para imitar a RuStore, uma loja de aplicativos popular na Rússia, o malware usa técnicas sofisticadas para infiltrar nos dispositivos, roubar dados sensíveis e evitar a detecção.

The Hacker News relata que ainda é incerto quem são os operadores, como os usuários são direcionados a esses links, ou se técnicas de phishing por SMS ou malvertising estão envolvidas.

Os pesquisadores observam que o FireScam é distribuído através de um site de phishing hospedado no GitHub.io que se passa por RuStore, enganando os usuários a baixar um APK malicioso. O aplicativo falso promete recursos do Telegram Premium, mas em vez disso, desencadeia um processo de infecção em várias etapas.

Começa com um APK em gotas que baixa e instala o malware FireScam, disfarçando-o como uma aplicação legítima. Uma vez instalado, o FireScam conduz uma extensa vigilância no dispositivo infectado.

Ele captura dados sensíveis, como notificações, mensagens e atividades da área de transferência. O malware até monitora as interações do dispositivo, incluindo alterações no estado da tela e transações de comércio eletrônico, fornecendo aos invasores informações valiosas sobre o comportamento do usuário.

O FireScam depende do Firebase Realtime Database como parte de seu sistema de comando e controle, que é essencial para gerenciar suas atividades maliciosas. Este banco de dados atua como um espaço de armazenamento para as informações que o malware rouba dos dispositivos infectados.

Uma vez que os dados são carregados, os invasores peneiram-nos para identificar peças valiosas, como detalhes pessoais sensíveis ou informações financeiras. Qualquer dado considerado desnecessário é excluído para evitar levantar suspeitas.

No caso do FireScam, o uso do Firebase – um serviço legítimo e amplamente utilizado – ajuda o malware a se mesclar, tornando mais difícil para as ferramentas de segurança detectar e bloquear suas atividades. O Firebase também é empregado para entregar cargas maliciosas adicionais, permitindo que os atacantes mantenham controle persistente sobre os dispositivos comprometidos.

O malware emprega ofuscação para ocultar sua intenção e evitar a detecção pelas ferramentas de segurança. Ele também realiza verificações de ambiente para identificar se está sendo executado em um ambiente de análise ou virtualizado, complicando ainda mais os esforços para rastrear suas atividades.

Ao aproveitar a popularidade de aplicativos amplamente utilizados como o Telegram e serviços legítimos como o Firebase, o FireScam destaca as táticas avançadas empregadas pelos atores modernos de ameaças. A capacidade do malware de roubar informações sensíveis e manter-se em sigilo representa um risco significativo tanto para usuários individuais quanto para organizações.

Information Security Buzz (ISB) relata que Eric Schwake, Diretor de Estratégia de Cibersegurança na Salt Security, destaca o crescente sofisticação do malware para Android, exemplificado pelo FireScam.

“Embora o uso de sites de phishing para distribuição de malware não seja uma nova tática, os métodos específicos do FireScam – como se disfarçar de aplicativo Telegram Premium e utilizar a loja de aplicativos RuStore – ilustram as técnicas em evolução dos atacantes para enganar e comprometer usuários desavisados”, disse Schwake de acordo com o Dark Reading.

O ISB relata que Schwake enfatiza a necessidade de uma robusta segurança API, pois dispositivos comprometidos podem acessar dados sensíveis através de APIs de aplicativos móveis. Autenticação forte, criptografia e monitoramento contínuo são essenciais para mitigar esses riscos.

Para combater o FireScam, os pesquisadores da CYFIRMA sugerem o uso de inteligência de ameaças, segurança robusta de endpoint e monitoramento baseado em comportamento. Eles também sugerem o uso de firewalls para bloquear domínios maliciosos e listas brancas de aplicativos para prevenir a execução de executáveis não autorizados.