Исследователи обнаружили поддельное Android-приложение Telegram Premium. Оно распространяется с фишинговой страницы, маскирующейся под российский магазин приложений. Вредоносное программное обеспечение способно похищать различные конфиденциальные данные.
Эксперты по кибербезопасности из компании CyFirma недавно выявили Android-приложение, которое притворяется премиум-версией Telegram. На самом деле оно крадет учетные данные пользователей и другую важную информацию.
Когда в 2022 году началось вторжение России в Украину, западные страны ввели серьезные санкции против режима Путина. Это означало, что россияне не могли получить доступ к Play Store от Google и App Store от Apple. Чтобы предоставить гражданам доступ к мобильным приложениям, Министерство цифрового развития России совместно с VK создали RuStore — рынок мобильных приложений.
По заявлению CyFirma, на GitHub были созданы фишинговые сайты, стилизованные под RuStore. Посетители этих сайтов сначала загружают модуль-дроппер GetAppsRu.apk, который перечисляет установленные на устройстве приложения, получает доступ к хранилищу устройства и устанавливает дополнительные пакеты.
Среди этих пакетов основное вредоносное ПО носит название Telegram Premium.apk. Этот вирус, получивший название FireScam, запрашивает разрешения на мониторинг уведомлений, данных из буфера обмена, SMS и других функций. Он также отображает поддельную страницу входа в Telegram, чтобы украсть учетные данные.
Кроме того, FireScam отслеживает активность приложений, анализирует буфер обмена, исследует транзакции в электронных магазинах и собирает другую полезную информацию. Данные затем отправляются на сторонний сервер, где они сортируются и передаются дальше. Информация, признанная бесполезной, удаляется.
Специалисты CyFirma не смогли связать FireScam с каким-либо известным киберпреступником, но описали операцию как «сложную и многоуровневую угрозу», использующую «продвинутые методы уклонения». Количество возможных жертв пока остается неизвестным. Также было рекомендовано быть внимательными при открытии файлов из незнакомых источников или при переходе по потенциально опасным ссылкам.
Источник: TechRadar
