Дмитрий Новиков
06 января 2025 12:01:58
Фото: © RusPhotoBank
Cyfirma обнаружила вредонос FireScam, маскирующийся под Telegram Premium для кражи данных на Android.
Специалисты из компании Cyfirma, занимающейся информационной безопасностью, выявили новый вирус, который получил название FireScam. По данным экспертов, он нацелен на кражу данных с Android-устройств. Вредоносное ПО маскировалось под приложение Telegram Premium и распространялось через фальшивую страницу, имитирующую российский магазин цифрового контента RuStore на платформе GitHub.
Исследования показали, что на устройства жертв устанавливался APK-дроппер GetAppsRu.apk, который обходил средства защиты Android и получал доступ к данным, хранящимся на устройстве. Этот дроппер затем устанавливал основной вредонос Telegram_Premium.apk, запрашивающий разрешения для мониторинга уведомлений, SMS и данных буфера обмена. При первом запуске пользователей просили авторизоваться, как при входе в Telegram, которые затем передавались злоумышленникам.
FireScam подключался к базе данных Firebase Realtime Database для отправки украденной информации и поддерживал постоянное соединение с удаленным сервером, позволяя злоумышленникам выполнять команды на устройстве, включая установку дополнительного вредоносного ПО. Этот вирус активно мониторил действия на экране устройства и перехватывал платежные данные. Cyfirma характеризует угрозу как сложную и предупреждает о необходимости осторожности при скачивании файлов из ненадежных источников.
Ранее сообщалось, что компания Thunderobot впервые в своей истории представит игровые ноутбуки на CES 2025.