FireScam」と名付けられた新しいAndroidマルウェアが、ロシアのモバイルデバイス向けアプリマーケット「RuStore」を模倣したGitHub上のフィッシングサイトを通じて、Telegramアプリのプレミアムバージョンとして配布されている。
RuStoreは2022年5月、ロシアのインターネットグループVK(VKontakte)がGoogle PlayやAppleのApp Storeに代わるものとして立ち上げた。
ロシアの規制に準拠したアプリをホストしており、ロシアデジタル開発省の支援を受けて作られた。
脅威管理会社Cyfirmaの研究者によると、RuStoreを模倣した悪意のあるGitHubページは、まずGetAppsRu.apkというドロッパーモジュールを配信する。
このドロッパーAPKは、検出を回避するためにDexGuardを使用して難読化されており、インストールされているアプリを識別するためのパーミッションを取得し、デバイスのストレージへのアクセスを許可し、追加のパッケージをインストールします。
次に、主なマルウェアのペイロードである「Telegram Premium.apk」を抽出してインストールします。このペイロードは、通知、クリップボードデータ、SMS、テレフォニーサービスなどを監視するためのパーミッションを要求します。
FireScamの機能
FireScam を実行すると、Telegram のログインページを表示する WebView 画面が表示され、メッセージングサービスのユーザー認証情報が盗み出されます。
FireScamは、Firebase Realtime Databaseとの通信を確立し、盗んだデータをリアルタイムでアップロードし、追跡のために侵害されたデバイスを一意の識別子で登録する。
Cyfirmaの報告によると、盗まれたデータはデータベースに一時的に保存された後、消去されます。おそらく、脅威者が貴重な情報をフィルタリングし、別の場所にコピーした後だと思われます。
マルウェアはまた、Firebase C2エンドポイントとの持続的なWebSocket接続を開き、特定のデータの要求、Firebaseデータベースへの即時アップロードのトリガー、追加ペイロードのダウンロードと実行、監視パラメータの調整などのコマンドをリアルタイムで実行する。
FireScamはまた、スクリーンアクティビティの変化を監視し、オン/オフイベントをキャプチャし、その時点でアクティブなアプリや、1,000ミリ秒以上継続するイベントのアクティビティデータを記録することができます。
このマルウェアはまた、あらゆる電子商取引を入念に監視し、機密性の高い財務データを取得しようとする。
ユーザーが入力したもの、ドラッグ&ドロップしたもの、クリップボードにコピーしたもの、パスワード・マネージャーから自動的に入力されたデータ、あるいはアプリ間の交換データさえも傍受し、分類して脅威行為者に流出させる。
CyfirmaはFireScamの運営者を示すヒントを得ていないが、研究者によれば、このマルウェアは “高度な回避テクニックを駆使した”「洗練された多面的な脅威」であるという。
同社は、信頼できない可能性のあるソースからのファイルを開いたり、見慣れないリンクをクリックしたりする際には注意するようユーザーに推奨している。
Comments