“
Nuevo año, nuevo horror: se ha identificado un nuevo malware para Android, llamado ‘FireScam’; este se está distribuyendo como una versión falsa de la aplicación Telegram Premium a través de sitios de phishing alojados en GitHub.
Estos sitios imitan a RuStore, el mercado de aplicaciones apoyado por el gobierno de Rusia, que se lanzó en 2022 como una alternativa a Google Play y la App Store de Apple en respuesta a las sanciones occidentales, según un informe de BleepingComputer.
Según expertos en ciberseguridad, los sitios de phishing primero entregan un archivo de instalación malicioso llamado GetAppsRu.apk, conocido como un módulo de instalación. Un instalador es un tipo de software que actúa como un vehículo de entrega de malware. Este archivo está obfuscado utilizando una técnica llamada DexGuard, diseñada para ocultar su verdadero propósito y evadir la detección por parte de software de seguridad. Una vez instalado, el instalador solicita permisos que le permiten analizar aplicaciones instaladas, acceder al almacenamiento del dispositivo e instalar archivos adicionales.El instalador luego despliega el malware principal, disfrazado como Telegram Premium.apk, que solicita permisos extensos para acceder a notificaciones, datos del portapapeles, mensajes SMS y servicios telefónicos. Cuando se ejecuta, la aplicación presenta a los usuarios una pantalla de inicio de sesión falsa que se asemeja a la interfaz de Telegram. Esta pantalla fraudulenta captura las credenciales de los usuarios y las envía a los atacantes. ¡Definitivamente no es divertido, verdad?
FireScam se comunica con una base de datos remota utilizando Firebase, una plataforma en la nube legítima. Sube los datos robados en tiempo real y registra dispositivos con identificadores únicos para rastrearlos. El malware también puede mantener comunicación persistente con Firebase para recibir comandos, descargar archivos maliciosos adicionales y ajustar sus actividades de vigilancia.
Además, FireScam realiza un seguimiento meticuloso de la actividad del usuario, como cambios en la pantalla y transacciones de comercio electrónico, con el objetivo de robar información financiera sensible. Captura todo lo que los usuarios escriben, copian o con lo que interactúan, incluidos los datos autocompletados por los administradores de contraseñas o compartidos entre aplicaciones. Esta información se envía a los atacantes después de ser categorizada por su contenido valioso. ¡Definitivamente no es divertido en absoluto!Los investigadores señalan el diseño sofisticado de FireScam y su uso de técnicas avanzadas de evasión, lo que lo hace particularmente peligroso. Si bien la identidad de los atacantes sigue siendo desconocida, el informe aconseja a los usuarios que tengan cuidado al descargar aplicaciones, eviten archivos de fuentes no confiables y se abstengan de hacer clic en enlaces desconocidos para minimizar el riesgo de caer víctima de tales amenazas. Solo necesitas hacerlo así.
“