'Firescam' adlı yeni bir Android kötü amaçlı yazılım, GitHub'daki Rusya'nın mobil cihazlar için uygulama pazarı Rustore'u taklit eden kimlik avı web siteleri aracılığıyla Telegram uygulamasının premium bir sürümü olarak dağıtılıyor.
Rustore, Mayıs 2022'de Rus kullanıcılarının mobil yazılımlara erişimini etkileyen Batı yaptırımlarının ardından Google Play ve Apple’ın App Store'a alternatif olarak Rus İnternet Grubu VK (VKONTAKTE) tarafından başlatıldı.
Rus düzenlemelerine uygun uygulamalara ev sahipliği yapıyor ve Rusya Dijital Kalkınma Bakanlığı'nın desteğiyle oluşturuldu.
Tehdit Yönetimi Şirketi Cyfirma'daki araştırmacılara göre, Rustore'u taklit eden kötü amaçlı Github sayfası ilk olarak getAppsru.apk adlı bir damlaçiye modül sunuyor.
APK damlası, algılamadan kaçmak için DexGuard kullanılarak gizlenir ve yüklü uygulamaları tanımlamasına izin veren, cihazın depolamasına erişmesini sağlar ve ek paketler yükler.
Ardından, diğerlerinin yanı sıra bildirimleri, pano verilerini, SMS'yi ve telefon hizmetlerini izlemesi için izin isteyen ana kötü amaçlı yazılım yükü olan "Telegram Premium.apk" ı çıkarır ve yükler.
Yürütme üzerine, bir telgraf giriş sayfasını gösteren aldatıcı bir webView ekranı, kullanıcının mesajlaşma hizmeti için kimlik bilgilerini çalır.
Firescam, çalınan verileri gerçek zamanlı olarak yüklediği bir Firebase RealTime veritabanı ile iletişim kurar ve izleme amacıyla uzlaşmış cihazı benzersiz tanımlayıcılarla kaydeder.
Cyfirma, çalınan verilerin yalnızca veritabanında geçici olarak saklandığını ve daha sonra silindiğini, muhtemelen tehdit aktörlerinin değerli bilgiler için filtreledikten ve farklı bir yere kopyaladıktan sonra silindiğini bildiriyor.
Kötü amaçlı yazılım ayrıca, belirli veriler istemek, Firebase veritabanına anında yüklemeleri tetiklemek, ek yükleri indirmek ve yürütmek veya sürveyans parametrelerini ayarlamak gibi gerçek zamanlı komut yürütme için Firebase C2 uç noktası ile kalıcı bir WebSocket bağlantısı açar.
Firescam ayrıca ekran etkinliklerindeki değişiklikleri izleyebilir, ONCH'LERE/KAPALI olayları yakalayabilir ve o sırada etkin uygulamayı günlüğe kaydedebilir ve 1.000 milisaniyeden fazla süren etkinlikler için etkinlik verilerini de izleyebilir.
Kötü amaçlı yazılım ayrıca, hassas finansal verileri yakalamaya çalışan tüm e-ticaret işlemlerini titizlikle izler.
Kullanıcı türleri, sürükler ve damlalar, panoya kopyalar ve hatta parola yöneticilerinden otomatik olarak doldurulmuş verileri veya uygulamalar arasında değişen, kategorize edilmiş ve tehdit aktörlerine eksfiltratlanmış verileri bile engeller.
Cyfirma'nın Firescam'ın operatörlerine işaret eden herhangi bir ipucu olmasa da, araştırmacılar kötü amaçlı yazılımın "gelişmiş kaçınma tekniklerini kullanan" sofistike ve çok yönlü bir tehdit "olduğunu söylüyor.
Şirket, kullanıcıların potansiyel olarak güvenilmeyen kaynaklardan dosyaları açarken veya tanıdık olmayan bağlantılara tıklarken dikkatli olmalarını önerir.
Rus siber yeni casus yazılımlarla Android kullanıcılarını hedeflemek
Rus FSB tarafından ele geçirilen telefonda yeni android casus yazılım
Badbox kötü amaçlı yazılım Botnet, bozulmaya rağmen 192.000 Android cihaza bulaşır
Amazon Appstore'da Health uygulaması olarak gizlenmiş Android kötü amaçlı yazılım
Qualcomm sıfır gün hatalarına bağlı yeni Android novispy casus yazılım
Kaynak: Bleeping Computer