Новий Android-вірус краде дані, маскуючись під Telegram

Експерти в галузі інформаційної безпеки з компанії Cyfirma виявили новий вірус для Android, який отримав назву FireScam. Програма маскується під фейковий додаток Telegram Premium і активно використовується для крадіжки даних користувачів.

Пропозиція поширюється через підроблену сторінку, що імітує російський цифровий магазин RuStore, розміщену на GitHub. На пристрої жертв завантажується APK-дроппер GetAppsRu.apk, який обминає системи захисту Android і отримує доступ до критично важливих дозволів, включаючи сканування встановлених додатків, сховища та можливість завантажувати додаткові модулі.

Telegram_Premium.apk також встановлюється дроппером і вимагає прав на моніторинг повідомлень, доступ до SMS, буфера обміну та інших конфіденційних даних. Після запуску програма виводить інтерфейс, що копіює екран авторизації Telegram. Введені користувачем дані негайно викрадаються.

FireScam передає зібрані дані в базу Firebase Realtime Database, де вони тимчасово зберігаються перед подальшою фільтрацією та відправкою на інші сервери. Також пакет підтримує постійне з'єднання з віддаленим сервером, що дозволяє операторам виконувати команди, посилювати спостереження та завантажувати додаткове шкідливе ПЗ. Програма фіксує дії користувача, включаючи зміни на екрані пристрою, тривалі операції, копіювання даних та платіжні транзакції.

Хоча оператори FireScam поки не встановлені, спеціалісти Cyfirma назвали загрозу «багаторівневою та ретельно замаскованою». Вони рекомендують користувачам Android з обережністю ставитися до завантаження додатків з неперевірених джерел і уникати встановлення підозрілих файлів. Загрози, подібні до FireScam, підтверджують необхідність підвищеної кіберграмотності та використання надійних антивірусних рішень для захисту персональних даних.