Un nouveau malware Android nommé » FireScam’ est distribué en tant que version premium de l’application Telegram via des sites Web de phishing sur GitHub qui imitent le RuStore, le marché russe des applications pour appareils mobiles.
RuStore a été lancé en mai 2022 par le groupe Internet russe VK (VKontakte) comme alternative à Google Play et à l’App Store d’Apple, à la suite de sanctions occidentales qui ont eu un impact sur l’accès des utilisateurs russes aux logiciels mobiles.
Il héberge des applications conformes à la réglementation russe et a été créé avec le soutien du Ministère russe du Développement numérique.
Selon des chercheurs de la société de gestion des menaces Cyfirma, la page GitHub malveillante imitant RuStore fournit d’abord un module compte-gouttes appelé GetAppsRu.apk.
L’APK dropper est obscurci à l’aide de DexGuard pour échapper à la détection et acquiert des autorisations qui lui permettent d’identifier les applications installées, lui donne accès au stockage de l’appareil et installe des packages supplémentaires.
Ensuite, il extrait et installe la charge utile principale du logiciel malveillant, Telegram Premium.apk’, qui demande des autorisations pour surveiller les notifications, les données du presse-papiers, les SMS et les services de téléphonie, entre autres.
Capacités FireScam
Lors de l’exécution, un écran WebView trompeur affichant une page de connexion Telegram vole les informations d’identification de l’utilisateur pour le service de messagerie.
FireScam établit une communication avec une base de données Firebase Realtime dans laquelle il télécharge des données volées en temps réel et enregistre l’appareil compromis avec des identifiants uniques, à des fins de suivi.
Cyfirma signale que les données volées ne sont stockées dans la base de données que temporairement, puis effacées, probablement après que les auteurs de la menace les ont filtrées pour obtenir des informations précieuses et les ont copiées vers un autre emplacement.
Le logiciel malveillant ouvre également une connexion WebSocket persistante avec le point de terminaison Firebase C2 pour l’exécution de commandes en temps réel, comme demander des données spécifiques, déclencher des téléchargements immédiats vers la base de données Firebase, télécharger et exécuter des charges utiles supplémentaires ou ajuster les paramètres de surveillance.
FireScam peut également surveiller les changements dans l’activité de l’écran, capturer les événements d’activation/désactivation et enregistrer l’application active à ce moment-là ainsi que les données d’activité pour les événements d’une durée supérieure à 1 000 millisecondes.
Le logiciel malveillant surveille également méticuleusement toutes les transactions de commerce électronique, tentant de capturer des données financières sensibles.
Tout ce que l’utilisateur tape, traîne et dépose, copie dans le presse-papiers et intercepte même les données automatiquement renseignées à partir des gestionnaires de mots de passe ou des échanges entre applications, classées et exfiltrées vers les acteurs de la menace.
Bien que Cyfirma n’ait aucun indice pointant vers les opérateurs de FireScam, les chercheurs affirment que le logiciel malveillant est une « menace sophistiquée et multiforme » qui « utilise des techniques d’évasion avancées. »
La société recommande aux utilisateurs d’être prudents lorsqu’ils ouvrent des fichiers provenant de sources potentiellement non fiables ou lorsqu’ils cliquent sur des liens inconnus.