Появилась вредоносная программа маскирующееся под Telegram Premium

Под видом премиум-версии Telegram распространяется новая вредоносная программа под названием FireScam. Она атакует пользователей Android через фальшивые сайты, созданные на платформе GitHub, которые внешне копируют российский магазин приложений RuStore.

RuStore, разработанный компанией VK в 2022 году, стал локальной альтернативой Google Play и App Store после введения западных санкций. Хотя магазин поддерживается Министерством цифрового развития РФ и публикует приложения, соответствующие российским нормам, мошенники решили использовать его популярность для фишинга.

На фейковом сайте предлагается загрузить файл GetAppsRu.apk — дроппер, который маскируется с помощью DexGuard для обхода антивирусов. После установки он запрашивает доступ к данным устройства, включая список установленных приложений и файловое хранилище, и скачивает вредоносный файл Telegram Premium.apk.

Чем опасен FireScam?

Программа крадет учетные данные через поддельную страницу входа в Telegram, созданную с помощью WebView. Собранная информация отправляется в базу данных Firebase Realtime, где временно хранится перед дальнейшей фильтрацией.

Но этим дело не ограничивается. FireScam:

  • Следит за уведомлениями, содержимым буфера обмена, SMS, звонками и активными приложениями.
  • Перехватывает данные из менеджеров паролей и автозаполнения форм.
  • Отслеживает транзакции в приложениях электронной коммерции, пытаясь украсть финансовую информацию.
  • Открывает постоянное соединение через WebSocket с Firebase C2, позволяя хакерам отдавать команды в реальном времени.

Вредоносная программа фиксирует даже мельчайшие изменения активности экрана и собирает информацию обо всём, что пользователь вводит или копирует.

You can skip to the end and leave a response. Pinging is currently not allowed.

Leave a Reply

Яндекс.Метрика