Un nuovo malware per Android chiamato FireScam è stato recentemente scoperto mentre si mascherava da versione premium dell'app di messaggistica Telegram. Questo malware è progettato per rubare dati e mantenere un controllo remoto persistente sui dispositivi compromessi. FireScam si presenta come una falsa app "Telegram Premium" e viene distribuito attraverso un sito di phishing ospitato su GitHub.io, che imita RuStore, un popolare app store nella Federazione Russa.

Il malware adotta un processo di infezione a più stadi, partendo da un APK droplet e continuando con attività di sorveglianza estensive una volta installato. Il sito di phishing denominato rustore-apk.github[.]io imita RuStore ed è progettato per distribuire un file APK chiamato "GetAppsRu.apk". Una volta installato, il droplet funge da veicolo per il payload principale, che è responsabile della raccolta di dati sensibili come notifiche, messaggi e altri dati delle app, inviandoli a un endpoint di Firebase Realtime Database.

L'app droplet richiede diversi permessi, tra cui la possibilità di scrivere su memorie esterne e installare, aggiornare o eliminare app arbitrariamente sui dispositivi Android infetti che eseguono Android 8 e versioni successive. Un permesso chiave utilizzato è l'ENFORCE_UPDATE_OWNERSHIP, che limita gli aggiornamenti delle app al proprietario designato, permettendo a un'applicazione malevola di prevenire aggiornamenti legittimi da altre fonti e mantenere la propria persistenza sul dispositivo.

FireScam utilizza varie tecniche di offuscamento e anti-analisi per evitare il rilevamento. Monitora notifiche in arrivo, cambiamenti dello stato dello schermo, transazioni e-commerce, contenuti degli appunti e attività degli utenti per raccogliere informazioni di interesse. Inoltre, ha la capacità di scaricare e processare dati immagine da un URL specificato.

L'app Telegram Premium falsa, una volta lanciata, cerca ulteriori permessi dagli utenti per accedere a elenchi di contatti, registri delle chiamate e messaggi SMS. Successivamente, mostra una pagina di login per il sito legittimo di Telegram attraverso un WebView per rubare le credenziali. La raccolta dei dati inizia indipendentemente dal fatto che la vittima effettui il login o meno.

Infine, FireScam registra un servizio per ricevere notifiche Firebase Cloud Messaging (FCM), consentendogli di ricevere comandi remoti e mantenere un accesso coperto. Questo indica le ampie capacità di monitoraggio del malware. Stabilisce anche una connessione WebSocket con il suo server di comando e controllo per l'esfiltrazione di dati e ulteriori attività.

Cyfirma, che ha individuato il malware, ha anche scoperto un altro artefatto malevolo chiamato CDEK, che sembra riferirsi a un servizio di tracciamento pacchi e consegne basato in Russia. Tuttavia, non è stato possibile ottenere questo artefatto al momento dell'analisi. Non è ancora chiaro chi siano gli operatori del malware o come gli utenti vengano indirizzati a questi link, se attraverso phishing via SMS o tecniche di malvertising.