В Telegram появилась новая мошенническая схема – данные пользователей воруют с помощью фейковой программы Telegram Premium. Об этой схеме рассказали эксперты компании Cyfirma, специализирующейся на IT-безопасности.
Пользователи получают письмо, в котором говорится, что друг отправил вам бесплатный Telegram Premium. Чтобы его получить, надо пройти по ссылке и установить приложение.
Ссылка ведет на вредоносную страницу, имитирующую RuStore, поэтому заподозрить неладное сложно. Далее под видом Telegram Premium пользователь устанавливает вирус, получивший название FireScam. Он крадет данные с устройства Android.
ВАЖНО: отдельного приложения Telegram Premium не существует – подписка подключается внутри мессенджера.
Исследователи Cyfirma обнаружили, что сперва, с имитации RuStore на устройство жертвы доставлялся APK-дроппер GetAppsRu.apk, который защищен от обнаружения средствами защиты Android. Он получал разрешения, которые нужны, чтобы просканировать устройство на предмет установленных приложений и загрузить дополнительные пакеты, а также доступ к хранилищу. Далее модуль извлекал и устанавливал основной вредонос Telegram_Premium.apk. Уже в нем пользователь давал разрешение на мониторинг уведомлений, данных буфера обмена, содержимого SMS и другое.
Помимо того, что вирус ворует данные для входа в Telegram, он еще и устанавливает постоянное соединение с удаленным сервером. Злоумышленники не только получают аккаунт пользователя, но и возможность выполнять разные команды на устройстве: запрашивать данные, настраивать дополнительные параметры слежки, загружать дополнительное вредоносное ПО и так далее. FireScam также устанавливает связь с базой данных Firebase Realtime Database, куда передается похищенная с устройства жертвы информация. Cyfirma выяснила, что украденные данных хранятся в базе временно. Когда злоумышленники их отфильтровывают, информация удаляется или переносится куда-то в иное место.
Кроме того, FireScam способен отслеживать активность на экране устройства и фиксировать события, продолжающиеся дольше 1000 мс. Вирус тщательно следит за всеми транзакциями, благодаря чему может перехватить конфиденциальные платежные данные жертвы. Вся информация, которую пользователь набирает и копирует в буфер обмена, классифицируется и передается на удаленный сервер.
У Cyfirma нет предположений, кто оператор FireScam. Однако в компании отметили:
Анализ FireScam показывает, что это сложная и многогранная угроза, нацеленная на устройства Android. Это вредоносное ПО, замаскированное под поддельное приложение Telegram Premium, использует передовые методы уклонения от обнаружения, злоупотребляет легитимными сервисами, такими как Firebase, и распространяется с помощью фишинговых веб-сайтов. Его возможности отслеживать различные действия на устройстве, перехватывать конфиденциальную информацию и передавать данные на удалённые серверы указывают на его потенциальное влияние на конфиденциальность и безопасность пользователей.
Напомним, что мошенники используют много разных схем в Telegram. Например, они могут предлагать подписаться на канал Wildberries, получить бесплатный Telegram Premium или дешевле приобрести валюту мессенджера Звезды. Также пользователям пишут с аккаунта «Советы по безопасности» и предупреждают о «блокировке аккаунта». Кроме того, мошенники могут рассылать вирусы под видом фотографий в расширении APK.
Будьте бдительны и не устанавливайте приложения из подозрительных источников!
Источник: Cyfirma
