Cyfirma обнаружила вредонос FireScam, маскирующийся под Telegram Premium для кражи данных на Android.
На Android обнаружили новый вирус FireScam — он выдаёт себя за Telegram
Фото: © RusPhotoBank
Специалисты из компании Cyfirma, занимающейся информационной безопасностью, выявили новый вирус, который получил название FireScam. По данным экспертов, он нацелен на кражу данных с Android-устройств. Вредоносное ПО маскировалось под приложение Telegram Premium и распространялось через фальшивую страницу, имитирующую российский магазин цифрового контента RuStore на платформе GitHub.
Исследования показали, что на устройства жертв устанавливался APK-дроппер GetAppsRu.apk, который обходил средства защиты Android и получал доступ к данным, хранящимся на устройстве. Этот дроппер затем устанавливал основной вредонос Telegram_Premium.apk, запрашивающий разрешения для мониторинга уведомлений, SMS и данных буфера обмена. При первом запуске пользователей просили авторизоваться, как при входе в Telegram, которые затем передавались злоумышленникам.
FireScam подключался к базе данных Firebase Realtime Database для отправки украденной информации и поддерживал постоянное соединение с удаленным сервером, позволяя злоумышленникам выполнять команды на устройстве, включая установку дополнительного вредоносного ПО. Этот вирус активно мониторил действия на экране устройства и перехватывал платежные данные. Cyfirma характеризует угрозу как сложную и предупреждает о необходимости осторожности при скачивании файлов из ненадежных источников.
Ранее сообщалось, что компания Thunderobot впервые в своей истории представит игровые ноутбуки на CES 2025.