Специалисты по кибербезопасности вычислили вирус, маскирующийся под Telegram Premium

Специалисты компании Cyfirmа (информационная безопасность), выявили новый вирус, который получил название FireScam. По словам экспертов, он нацелен на кражу данных с Android-устройств.

Вредоносное программное обеспечение маскируется под приложение Telegram Premium и распространяется через фальшивую страницу, имитирующую российский магазин цифрового контента RuStore на платформе GitHub.

На устройства жертв устанавливался APK-дроппер GetAppsRu.apk, который обходил средства защиты Android и получал доступ к данным, хранящимся на устройстве. Этот дроппер затем устанавливал основной вредонос Telegram_Premium.apk, запрашивающий разрешения для мониторинга уведомлений, SMS и данных буфера обмена. При первом запуске пользователей просили авторизоваться, как при входе в Telegram, которые затем передавались злоумышленникам.

FireScam подключался к базе данных Firebase Realtime Database для отправки украденной информации и поддерживал постоянное соединение с удалённым сервером, позволяя злоумышленникам выполнять команды на устройстве, включая установку дополнительного вредоносного ПО. Этот вирус активно изучал действия на экране устройства и перехватывал платёжные данные. Cyfirma характеризует угрозу как сложную и предупреждает о необходимости осторожности при скачивании файлов из ненадёжных источников.

Фото: rg.ru