详细内容或原文请订阅后点击阅览
FireScam 信息窃取者冒充 Telegram Premium 应用程序来监视 Android 设备
一旦安装,它就会像免费自助餐一样窃取您的数据。被称为 FireScam 的 Android 恶意软件会诱使人们认为他们正在下载 Telegram Premium 应用程序,该应用程序会秘密监视受害者的通知、短信和应用程序活动,同时通过 Firebase 服务窃取敏感信息。
来源:The Register _恶意软件被称为 FireScam 的 Android 恶意软件会诱使人们以为他们正在下载 Telegram Premium 应用程序,该应用程序会秘密监视受害者的通知、短信和应用程序活动,同时通过 Firebase 服务窃取敏感信息。
Cyfirma 研究人员发现了具有间谍软件功能的新信息窃取程序,并表示该恶意软件通过 GitHub.io 托管的网络钓鱼网站进行分发,该网站模仿了俄罗斯联邦流行的应用商店 RuStore。
网络钓鱼网站提供了一个名为 ru[.]store[.]installer 的植入程序,并将其安装为 GetAppsRu[.]apk。启动时,它会提示用户安装 Telegram Premium。
当然,这实际上并不是消息应用程序,而是 FireScam 恶意软件,它针对的是运行 Android 8 到 15 的设备。
安装后,它会请求一系列权限,允许它查询和列出设备上已安装的所有应用程序、访问和修改外部存储以及安装和删除其他应用程序。
此外,其中一项权限将安装 FireScam 的恶意者指定为应用程序的“更新所有者”,从而阻止来自其他来源的合法更新,并使恶意软件能够在受害者的设备上保持持久性。
攻击者可以使用信息窃取/监视恶意软件拦截和窃取敏感设备和个人信息,包括通知、消息、其他应用程序数据、剪贴板内容和 USSD 响应,其中可能包括账户余额、移动交易或网络相关数据。
“这些日志随后被泄露到 Firebase 数据库中,使攻击者能够在用户不知情的情况下远程访问捕获的详细信息,”Cyfirma 的研究人员指出。
指出被盗数据暂时存储在 Firebase 实时数据库中,过滤有价值的信息,然后删除。
合法服务FireScam 注册服务以接收 Firebase 云消息传递 (FCM) 通知。每当应用收到 Firebase 推送通知时,就会触发消息传递服务。