Користувачів Android попередили про новий і небезпечний вірус

Фахівці ІБ-компанії Cyfirma виявили шкідливе ПЗ під назвою FireScam, спрямоване на крадіжку даних користувачів Android-пристроїв, яке маскується під застосунок Telegram Premium і поширювалося через сторінку на GitHub, що імітує російський магазин RuStore.

Що варто знати

За словами експертів, шкідлива сторінка, що імітує RuStore, завантажувала на пристрої жертв застосунок під назвою “GetAppsRu.apk”, захищений від виявлення засобами захисту Android.

Після встановлення програма отримує необхідні дозволи для сканування встановлених застосунків та доступу до сховища пристрою, а також дозвіл на завантаження додаткових пакетів. Далі програма встановлювала основний шкідливий додаток “Telegram_Premium.apk”, який запитував доступ до відстеження сповіщень, буфера обміну, вмісту SMS та інших даних.

Під час першого запуску FireScam, який мімікрує під популярний месенджер, відображає сторінку авторизації в Telegram з метою крадіжки цих даних. Також додаток встановлює зв’язок із базою даних Firebase Realtime Database, куди передається викрадена інформація.

FireScam також підтримує постійне з’єднання з віддаленим сервером, що дає змогу зловмисникам виконувати різноманітні команди на пристрої жертви, включно із запитом даних, налаштуванням параметрів стеження і завантаженням додаткового шкідливого ПЗ. Крім того, застосунок відстежує активність на екрані пристрою і може перехоплювати платіжні дані.