Android

FireScam」と名付けられた新しいAndroidマルウェアが、ロシアのモバイルデバイス向けアプリマーケット「RuStore」を模倣したGitHub上のフィッシングサイトを通じて、Telegramアプリのプレミアムバージョンとして配布されている。

RuStoreは2022年5月、ロシアのインターネットグループVK(VKontakte)がGoogle PlayやAppleのApp Storeに代わるものとして立ち上げた。

ロシアの規制に準拠したアプリをホストしており、ロシアデジタル開発省の支援を受けて作られた。

脅威管理会社Cyfirmaの研究者によると、RuStoreを模倣した悪意のあるGitHubページは、まずGetAppsRu.apkというドロッパーモジュールを配信する。

このドロッパーAPKは、検出を回避するためにDexGuardを使用して難読化されており、インストールされているアプリを識別するためのパーミッションを取得し、デバイスのストレージへのアクセスを許可し、追加のパッケージをインストールします。

次に、主なマルウェアのペイロードである「Telegram Premium.apk」を抽出してインストールします。このペイロードは、通知、クリップボードデータ、SMS、テレフォニーサービスなどを監視するためのパーミッションを要求します。

RuStore clone hosted on a GitHub.io domain
GitHub.ioドメインにホストされたRuStoreクローン
Source:CYFIRMA

FireScamの機能

FireScam を実行すると、Telegram のログインページを表示する WebView 画面が表示され、メッセージングサービスのユーザー認証情報が盗み出されます。

FireScamは、Firebase Realtime Databaseとの通信を確立し、盗んだデータをリアルタイムでアップロードし、追跡のために侵害されたデバイスを一意の識別子で登録する。

Cyfirmaの報告によると、盗まれたデータはデータベースに一時的に保存された後、消去されます。おそらく、脅威者が貴重な情報をフィルタリングし、別の場所にコピーした後だと思われます。

マルウェアはまた、Firebase C2エンドポイントとの持続的なWebSocket接続を開き、特定のデータの要求、Firebaseデータベースへの即時アップロードのトリガー、追加ペイロードのダウンロードと実行、監視パラメータの調整などのコマンドをリアルタイムで実行する。

FireScamはまた、スクリーンアクティビティの変化を監視し、オン/オフイベントをキャプチャし、その時点でアクティブなアプリや、1,000ミリ秒以上継続するイベントのアクティビティデータを記録することができます。

このマルウェアはまた、あらゆる電子商取引を入念に監視し、機密性の高い財務データを取得しようとする。

ユーザーが入力したもの、ドラッグ&ドロップしたもの、クリップボードにコピーしたもの、パスワード・マネージャーから自動的に入力されたデータ、あるいはアプリ間の交換データさえも傍受し、分類して脅威行為者に流出させる。

Data exfiltrated by FireScam
FireScam によって流出したデータ
ソースはこちら:サイファーマ

CyfirmaはFireScamの運営者を示すヒントを得ていないが、研究者によれば、このマルウェアは “高度な回避テクニックを駆使した”「洗練された多面的な脅威」だという。

同社は、信頼できない可能性のあるソースからのファイルを開いたり、見慣れないリンクをクリックしたりする際には注意するようユーザーに推奨している。