Новый вирус распространяется под видом Telegram Premium: что нужно знать и как уберечься

6 января 2025, 18:01
Читати новину українською
Автор: Александр Гайдамашко

Судя по всему, российские хакеры запустили злонамеренную кампанию, направленную в первую очередь против самих россиян. Однако попасться на нее могут и пользователи из других стран, поскольку вирус распространяется через GitHub, международный сервис для разработчиков программного обеспечения.

Что нужно знать

Новое вредоносное программное обеспечение под названием FireScam распространяется среди пользователей смартфонов на Android. Оно подается как якобы премиум-версия приложения Telegram для тех, кто не хочет платить, но хотел бы иметь все функции платной подписки. Пользователи могут скачать фейковый Telegram Premium со страницы на GitHub, которая копирует дизайн российского магазина приложений RuStore, аналога Play Маркета, сообщает 24 Канал со ссылкой на BleepingComputer.

Смотрите также Исследователи предупреждают о "гиперперсонализированных" хакерских атаках на основе ИИ

RuStore был запущен в мае 2022 года российской компанией, которая сегодня владеет "ВКонтакте". Сделали это как ответ на введение западных санкций, которые повлияли на доступ российских пользователей к мобильному программному обеспечению, и при поддержке российского правительства. На RuStore размещаются приложения, которые соответствуют местному законодательству.

По данным исследовательской компании Cyfirma, которая занимается управлением угрозами, вредоносное ПО использует DexGuard, чтобы маскировать свою деятельность, избегая обнаружения антивирусными программами. Скрытый код получает разрешения, которые помогают ему идентифицировать установленные приложения, предоставляют доступ к памяти устройства и устанавливают дополнительные пакеты. Основное приложение "Telegram Premium.apk" запрашивает разрешения на мониторинг уведомлений, данных буфера обмена, SMS, телефонии и других сервисов.

Возможности FireScam

После запуска поддельного Telegram вам, конечно же, придется осуществить вход. Здесь вы вводите свои учетные данные, которые сразу же попадают к хакерам. FireScam устанавливает связь с базой данных Firebase в режиме реального времени, а также подтягивает данные из вашего реального аккаунта в Telegram. Ваше устройство при этом регистрируется в системе с уникальными идентификаторами. Все, что содержится в ваших диалогах и хранилищах, тем временем теперь доступно для злоумышленников.

Cyfirma сообщает, что похищенные данные сохраняются в базе данных лишь временно, а затем стираются. Предположительно, это делается после того, как хакеры просмотрят весь контент и сообщения на предмет чего-то ценного и интересного. Если такого не будет, им нет смысла хранить всю эту информацию, забивая память на своем сервере. Однако если они найдут что-то интересное, судьба жертвы может будет совсем другой.

  • Вредоносное программное обеспечение также открывает постоянное соединение с конечной точкой Firebase C2 для выполнения команд в режиме реального времени, таких как запрос определенных данных, запуск немедленной загрузки в базу данных Firebase, загрузка и выполнение дополнительной полезной нагрузки или корректировка параметров наблюдения.
  • FireScam также может отслеживать изменения активности на экране, фиксировать события включения/выключения и регистрировать активные в это время программы, а также данные об активности для событий длительностью более 1000 миллисекунд.
  • Кроме того, вирус тщательно отслеживает любые транзакции электронной коммерции, пытаясь перехватить конфиденциальные финансовые данные.

Все, что пользователь вводит, перетаскивает и копирует в буфер обмена будет видимым для хакеров. Вирус перехватывает даже данные, которые автоматически заполняются из менеджеров паролей, а также все, чем обменивают приложения без вашего участия.

Кто за этим стоит

Cyfirma не имеет никаких намеков на операторов FireScam. Однако исследователи утверждают, что это вредоносное программное обеспечение является "сложной и многогранной угрозой", которая "использует передовые методы уклонения". Так что вряд ли за этим стоит какая-то команда любителей, которые просто решили поиграть.

  • Компания рекомендует пользователям быть осторожными, открывая файлы из потенциально ненадежных источников или переходя по незнакомым ссылкам.
  • Кроме того, следует устанавливать приложения только из официальных магазинов.
  • Наконец, помните, что бесплатный сыр – только в мышеловке, поэтому если кто-то предлагает вам бесплатную версию платной программы, он, скорее всего, делает это не просто так.