Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El malware FireScam para Android se hace pasar por Telegram Premium para robar datos y controlar dispositivos
  • Tecnología

El malware FireScam para Android se hace pasar por Telegram Premium para robar datos y controlar dispositivos

teknomers 6 de Ocak de 2025 (Last updated: 6 de Ocak de 2025) 4 minutes read
El malware FireScam para Android se hace pasar por Telegram


06 de enero de 2025Ravie LakshmananMalware/Seguridad Móvil

Un malware que roba información de Android llamado Estafa de fuego Se ha descubierto que se hace pasar por una versión premium de la aplicación de mensajería Telegram para robar datos y mantener un control remoto persistente sobre los dispositivos comprometidos.

“Disfrazada de una aplicación ‘Telegram Premium’ falsa, se distribuye a través de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore, una tienda de aplicaciones popular en la Federación Rusa”, Cyfirma dichodescribiéndola como una “amenaza sofisticada y multifacética”.

“El malware emplea un proceso de infección de varias etapas, que comienza con un APK cuentagotas y realiza extensas actividades de vigilancia una vez instalado”.

El sitio de phishing en cuestión, rustore-apk.github[.]io, imita a RuStore, una tienda de aplicaciones lanzada por el gigante tecnológico ruso VK en el país, y está diseñada para entregar un archivo APK con cuentagotas (“GetAppsRu.apk”).

Ciberseguridad

Una vez instalado, el cuentagotas actúa como un vehículo de entrega para la carga útil principal, que es responsable de filtrar datos confidenciales, incluidas notificaciones, mensajes y otros datos de aplicaciones, a un punto final de Firebase Realtime Database.

La aplicación cuentagotas solicita varios permisos, incluida la capacidad de escribir en un almacenamiento externo e instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android infectados que ejecutan Android 8 y versiones posteriores.

“El permiso ENFORCE_UPDATE_OWNERSHIP restringe las actualizaciones de la aplicación al propietario designado de la aplicación. El instalador inicial de una aplicación puede declararse el ‘propietario de la actualización’, controlando así las actualizaciones de la aplicación”, señaló Cyfirma.

“Este mecanismo garantiza que los intentos de actualización por parte de otros instaladores requieran la aprobación del usuario antes de continuar. Al designarse como propietario de la actualización, una aplicación maliciosa puede impedir actualizaciones legítimas de otras fuentes, manteniendo así su persistencia en el dispositivo”.

Software malicioso FireScam para Android

FireScam emplea varias técnicas de ofuscación y antianálisis para evadir la detección. También controla las notificaciones entrantes, los cambios de estado de la pantalla, las transacciones de comercio electrónico, el contenido del portapapeles y la actividad del usuario para recopilar información de interés. Otra función notable es su capacidad para descargar y procesar datos de imágenes desde una URL específica.

La aplicación fraudulenta Telegram Premium, cuando se inicia, solicita además el permiso de los usuarios para acceder a listas de contactos, registros de llamadas y mensajes SMS, después de lo cual se muestra una página de inicio de sesión para el sitio web legítimo de Telegram a través de WebView para robar las credenciales. El proceso de recopilación de datos se inicia independientemente de si la víctima inicia sesión o no.

Por último, registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener un acceso encubierto, una señal de las amplias capacidades de monitoreo del malware. El malware también establece simultáneamente una conexión WebSocket con su servidor de comando y control (C2) para la filtración de datos y actividades de seguimiento.

Ciberseguridad

Cyfirma dijo que el dominio de phishing también alojaba otro artefacto malicioso llamado CDEK, que probablemente sea una referencia a un servicio de seguimiento de paquetes y entregas con sede en Rusia. Sin embargo, la empresa de ciberseguridad dijo que no pudo obtener el artefacto en el momento del análisis.

Actualmente no está claro quiénes son los operadores, ni cómo se dirige a los usuarios a estos enlaces, ni si se trata de técnicas de phishing o publicidad maliciosa por SMS.

“Al imitar plataformas legítimas como la tienda de aplicaciones RuStore, estos sitios web maliciosos explotan la confianza del usuario para engañar a las personas para que descarguen e instalen aplicaciones falsas”, dijo Cyfirma.

“FireScam lleva a cabo sus actividades maliciosas, incluida la exfiltración de datos y la vigilancia, lo que demuestra aún más la eficacia de los métodos de distribución basados ​​en phishing para infectar dispositivos y evadir la detección”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Decenas de personas rescatadas tras las inundaciones en Reino Unido
Next: PDC revela el secreto de la Premier League

Related Stories

Intel confirma un aumento de precio en sus procesadores Core
  • Tecnología

Intel confirma un aumento de precio en sus procesadores Core Ultra 7 270K y Ultra 5 250K

teknomers 5 de Temmuz de 2026
Un solo coche de F1 en 2026 genera tanto datos
  • Tecnología

Un solo coche de F1 en 2026 genera tanto datos como 1,600 películas de Netflix en simultáneo (Reportaje)

teknomers 5 de Temmuz de 2026
Volkswagen podría producir coches chinos en Alemania: un tabú acaba
  • Tecnología

Volkswagen podría producir coches chinos en Alemania: un tabú acaba de romperse

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Cultura

« Megarama quiere eliminarnos »: la guerra de los estrenos nacionales entre un multiplex y un pequeño cine de Oise

teknomers 5 de Temmuz de 2026
Intel confirma un aumento de precio en sus procesadores Core
  • Tecnología

Intel confirma un aumento de precio en sus procesadores Core Ultra 7 270K y Ultra 5 250K

teknomers 5 de Temmuz de 2026
  • salud

Tour de France 2026: ¿cómo se lleva a cabo un control antidopaje en las rutas de la Grande Boucle?

teknomers 5 de Temmuz de 2026
Radio France denuncia “presiones” tras la llamada de Mélenchon a
  • Entretenimiento

Radio France denuncia “presiones” tras la llamada de Mélenchon a evitar France Culture

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.