Специалисты по информационной безопасности из компании Cyfirma обнаружили вредоносную программу под названием FireScam, которая предназначена для кражи данных пользователей устройств на базе Android. Программа маскируется под приложение Telegram Premium и распространяется через страницу на GitHub, которая имитирует российский магазин RuStore.
По словам экспертов, вредоносная страница, имитирующая RuStore, загружает на устройства жертв приложение под названием «GetAppsRu.apk», которое защищено от обнаружения средствами защиты Android.
После установки программа получает необходимые разрешения для сканирования установленных приложений и доступа к хранилищу устройства, а также разрешение на загрузку дополнительных пакетов. Затем программа устанавливает основной вредоносный файл «Telegram_Premium.apk», который запрашивает доступ к отслеживанию уведомлений, буферу обмена, содержимому SMS и другим данным.
При первом запуске FireScam, который имитирует популярный мессенджер, отображается страница авторизации в Telegram для кражи данных. Приложение также устанавливает связь с базой данных Firebase Realtime Database, куда передаются похищенные данные.
FireScam поддерживает постоянное соединение с удалённым сервером, что позволяет злоумышленникам выполнять различные команды на устройстве жертвы, включая запрос данных, настройку параметров слежения и загрузку дополнительного вредоносного ПО. Кроме того, приложение отслеживает активность на экране устройства и может перехватывать платёжные данные.