I ricercatori di Cyfirma hanno scoperto un nuovo malware per Android, denominato FireScam, che viene distribuito tramite un’app Telegram Premium fasulla. Quest’ultima è stata pubblicata su un sito simile a RuStore, lo store lanciato in Russia da VKontakte nel 2022. Lo scopo dei cybercriminali è rubare i dati sensibili dagli smartphone degli utenti. Google ha consigliato di attivare la funzionalità Play Protect.
FireScam è infostealer e spyware
Gli esperti di Cyfirma hanno trovato il file APK dell’app fake di Telegram Premium su un sito ospitato da GitHub (dominio github.io
). L’aspetto è simile a quello di RuStore, uno store alternativo al Google Play Store introdotto in Russia a maggio 2022 in seguito alle sanzioni occidentali.
Dallo store fasullo viene scaricato il file GetAppsRu.apk
. Si tratta di un dropper che chiede vari permessi, tra cui quelli per accedere alle app installate e allo storage. Successivamente installa il file Telegram Premium.apk
che chiede altri permessi.
All’avvio dell’app viene mostrata la tradizionale pagina di login di Telegram. I dati inseriti dall’ignara vittima vengono subito inviati ad un Firebase Realtime Database. Viene anche aperta una connessione WebSocket con un endpoint Firebase C2 per l’esecuzione dei comandi in tempo reale.
FireScam può monitorare l’attività dello schermo e qualsiasi transazione sui siti di e-commerce per catturare i dati di pagamento. Può inoltre accedere alla clipboard, ai messaggi e alle notifiche. Intercetta anche le credenziali copiate da un password manager. Il malware combina quindi le funzionalità di infostealer e spyware.
Google ha confermato che l’app fasulla non è disponibile sul Play Store. L’azienda di Mountain View suggerisce di attivare la funzionalità Play Protect che blocca anche app scaricate da altre fonti.