Malware para dispositivos móviles FireScam
Se ha descubierto una nueva amenaza para Android llamada FireScam. Se disfraza como una versión mejorada de la aplicación de mensajería Telegram. Esta táctica engañosa permite al software amenazante extraer datos confidenciales de los usuarios y mantener un acceso remoto persistente a los dispositivos comprometidos.
Tabla de contenido
Un disfraz ingenioso: la falsa aplicación Telegram Premium
FireScam se distribuye bajo la apariencia de una aplicación falsificada de "Telegram Premium". Se propaga a través de un sitio web de phishing alojado en GitHub.io, que se presenta falsamente como RuStore, una conocida tienda de aplicaciones en Rusia. Los analistas de seguridad describen esta amenaza móvil como compleja y muy adaptable. Una vez instalada, sigue un proceso de infección de varias etapas, que comienza con un APK de descarga que facilita una vigilancia exhaustiva.
El sitio fraudulento, rustore-apk.github.io, imita la interfaz de RuStore y está diseñado para engañar a los usuarios para que descarguen un archivo APK llamado 'GetAppsRu.apk'.
El papel del Dropper en el ataque de FireScam
Después de la instalación, el dropper funciona como mecanismo de entrega de la carga útil principal. Este componente principal es responsable de recopilar y transmitir información confidencial (como mensajes, notificaciones y datos de la aplicación) a una base de datos en tiempo real de Firebase.
Para reforzar su control, el cuentagotas solicita múltiples permisos, que incluyen acceso al almacenamiento externo y la capacidad de instalar, actualizar o eliminar aplicaciones en dispositivos Android que ejecuten la versión 8 y más recientes.
Un aspecto particularmente preocupante de FireScam es su explotación del permiso ENFORCE_UPDATE_OWNERSHIP. Esta característica de Android permite que el instalador original de una aplicación se convierta en su "propietario de actualización", lo que significa que solo el propietario designado puede iniciar actualizaciones. Al aprovechar este mecanismo, FireScam puede bloquear actualizaciones legítimas de otras fuentes, lo que garantiza su presencia continua en el dispositivo infectado.
Funciones avanzadas de evasión y vigilancia
FireScam emplea técnicas de ofuscación para resistir la detección y el análisis. Monitorea activamente las notificaciones entrantes, los cambios en el estado de la pantalla, la actividad del usuario, el contenido del portapapeles e incluso las transacciones en línea. La amenaza también es capaz de descargar y procesar imágenes desde un servidor remoto, lo que agrega otra capa a sus capacidades de vigilancia.
Al iniciarse, la aplicación fraudulenta Telegram Premium solicita permiso para acceder a los contactos, registros de llamadas y mensajes SMS de los usuarios. Luego presenta una página de inicio de sesión que refleja el sitio web oficial de Telegram a través de una vista web, intentando capturar las credenciales del usuario. Sin embargo, el proceso de recopilación de datos se activa incluso si el usuario no ingresa sus datos de inicio de sesión.
Mantener el acceso remoto persistente
Una de las funciones más insidiosas de FireScam es su capacidad de registrarse para recibir notificaciones de Firebase Cloud Messaging (FCM). Esto le permite a la amenaza recibir instrucciones remotas y mantener un acceso encubierto continuo al dispositivo. Además, establece una conexión WebSocket con su servidor de comando y control (C2) para facilitar el robo de datos y ejecutar otras acciones inseguras.
Otros componentes nocivos y preguntas sin respuesta
Los investigadores también identificaron otro artefacto dañino alojado en el dominio de phishing, denominado "CDEK". Este nombre probablemente hace referencia a un servicio ruso de logística y seguimiento de paquetes, lo que sugiere una actividad maliciosa más amplia que va más allá de FireScam.
Aún no está claro quién está detrás de esta operación ni cómo se dirige a los usuarios a estos enlaces de phishing. Las posibles tácticas podrían incluir phishing por SMS (smishing) o campañas de publicidad maliciosa. Al imitar servicios legítimos como RuStore, estos sitios web engañosos manipulan la confianza de los usuarios para convencerlos de que descarguen aplicaciones fraudulentas.
La capacidad de FireScam para extraer datos y llevar a cabo actividades de vigilancia pone de relieve los riesgos asociados a los métodos de distribución basados en el phishing. Este caso pone de relieve los desafíos actuales para proteger a los usuarios de Android de las amenazas que explotan la ingeniería social y la confianza en plataformas conocidas.
