Un nuovo malware, che si chiama FireScam ed è per Android, si maschera da versione premium dell’app Telegram e la sua distribuzione avviene tramite siti web di phishing su GitHub che imitano il RuStore, il mercato russo delle app per dispositivi mobili. Lo riportano i ricercatori della società di gestione delle minacce Cyfirma.
“Oltre alle modalità con le quali il malware viene distribuito e offuscato in modo da non essere identificato dagli strumenti di rilevamento”, commenta Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser, “l’aspetto interessante di questa minaccia è che utilizza come ‘cavallo di Troia’ una finta applicazione Telegram che, come prima azione, ruba le credenziali della piattaforma d’instant messaging dell’utente”.
Ecco come proteggersi dal malware dedito al furto dei dati.
Indice degli argomenti
FireScam per Android, un malware per il furto dati
Il debutto di RuStore risale al maggio 2022 dal gruppo internet russo VK (VKontakte) come alternativa a Google Play e all’App Store di Apple, in seguito alle sanzioni occidentali che hanno colpito l’accesso degli utenti russi al software mobile.
Ospita applicazioni conformi alle normative russe ed è stato creato con il supporto del Ministero russo dello Sviluppo digitale.
Secondo Cyfirma, la pagina GitHub malevola che imita RuStore offre innanzitutto un modulo dropper chiamato GetAppsRu.apk.
L’APK del dropper è offuscato con DexGuard per eludere il rilevamento. Acquisisce le autorizzazioni che gli permettono di identificare le app installate, di accedere alla memoria del dispositivo e di installare pacchetti aggiuntivi.
Successivamente, estrae e installa il payload principale del malware, Telegram Premium.apk, che, per esempio, richiede le autorizzazioni per monitorare le notifiche, i dati della clipboard, gli SMS e i servizi di telefonia.
“Recentemente ho avuto diversi casi di richieste di aiuto da parte di vittime di sottrazione dell’account Telegram“, spiega Dal Checco, “e il vettore con la quale è avvenuto il furto del profilo potrebbe essere proprio questo infostealer“.
“Si tratta infatti, in ogni caso, di un infostealer, con capacità di accesso a dati come messaggi, notifiche, dati copiati nella clipboard, dati finanziari, password, eccetera, che possono essere poi caricati su un server del Command & Control per essere utilizzati dai criminali”, sottolinea Dal Checco.
I dettagli
In fase di esecuzione, una schermata WebView ingannevole – che mostra una pagina di accesso a Telegram – ruba le credenziali dell’utente per il servizio di messaggistica.
FireScam stabilisce una comunicazione con un Firebase Realtime Database dove carica i dati rubati in tempo reale e registra il dispositivo compromesso con identificatori unici, a scopo di tracciamento.
Cyfirma riferisce che la memorizzazione dei dati rubati avviene nel database solo temporaneamente. La cancellazione, presumibilmente, accade dopo che gli attori malevoli li hanno filtrati alla ricerca di informazioni preziose e copiati in una posizione diversa.
Il malware apre anche una connessione WebSocket persistente con l’endpoint C2 di Firebase per l’esecuzione di comandi in tempo reale, come la richiesta di dati specifici, l’attivazione di upload immediati nel database Firebase, il download e l’esecuzione di payload aggiuntivi o la regolazione dei parametri di sorveglianza.
FireScam è anche in grado di monitorare i cambiamenti nell’attività dello schermo, catturando gli eventi di accensione e spegnimento e registrando l’app attiva in quel momento, nonché i dati di attività per gli eventi che durano più di 1.000 millisecondi.
Il malware monitora meticolosamente anche le transazioni di eCommerce, cercando di catturare dati finanziari sensibili.
Gli attori delle minacce categorizzano ed esfiltrano tutto ciò che l’utente digita, trascina, copia negli appunti e intercetta, anche i dati compilati automaticamente dai gestori di password o scambiati tra le app.
Come proteggersi da FireScam per Android
Sebbene Cyfirma non abbia indizi che indichino gli operatori di FireScam, i ricercatori definiscono il malware una “minaccia sofisticata e sfaccettata che impiega tecniche di evasione avanzate”.
L’azienda raccomanda agli utenti di prestare attenzione, evitando di aprire file da fonti potenzialmente non attendibili o di cliccare su link sconosciuti.
“La difesa da questo tipo di minacce consiste principalmente nell’evitare d’installare app che risiedano fuori dal market ufficiale, facendo attenzione a siti di phishing che emulano tali market e che quindi creano fiducia nell’utente”, mette in guardia Dal Checco.
La consapevolezza è infatti la prima arma di difesa: il download dio software e app deve avvenire solo da marketplace ufficiali.
“Se un sito fa scaricare un file APK da installare in autonomia va valutato con attenzione e può essere pericoloso, dato che in genere i market s’integrano direttamente con Android e rendono l’operazione di download e installazione delle App quasi traspartente. Un file APK scaricato da una fonte non attendibile (come per esempio un sito web, anche se assomiglia a un portale ufficiale di distribuzione delle App) invece deve essere installato manualmente e con la comparsa di messaggi di avviso da parte di Android che chiedono conferma circa l’installazione di App fuori dal market”, evidenzia Dal Checco.
“Altro aspetto da tenere in considerazione è la richiesta di permessi da parte di queste app malevole, per poter accedere a SMS, dati di telefonia, clipboard, installazione pacchetti, storage, notifiche eccetere”, conclude Dal Checco: “Ogni app deve poter accedere soltanto ai dati di pertinenza, evitando di consentire l’accesso a ciò che non sembra relativo al prodotto che si sta installando, nel dubbio si può comunque sempre confermare successivamente”.
