
Un malware que roba información de Android llamado Estafa de fuego Se ha descubierto que se hace pasar por una versión premium de la aplicación de mensajería Telegram para robar datos y mantener un control remoto persistente sobre los dispositivos comprometidos.
“Disfrazada de una aplicación ‘Telegram Premium’ falsa, se distribuye a través de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore, una tienda de aplicaciones popular en la Federación Rusa”, Cyfirma dichodescribiéndola como una “amenaza sofisticada y multifacética”.
“El malware emplea un proceso de infección de varias etapas, que comienza con un APK cuentagotas y realiza extensas actividades de vigilancia una vez instalado”.
El sitio de phishing en cuestión, rustore-apk.github[.]io, imita a RuStore, una tienda de aplicaciones lanzada por el gigante tecnológico ruso VK en el país, y está diseñada para entregar un archivo APK con cuentagotas (“GetAppsRu.apk”).
Una vez instalado, el cuentagotas actúa como un vehículo de entrega para la carga útil principal, que es responsable de filtrar datos confidenciales, incluidas notificaciones, mensajes y otros datos de aplicaciones, a un punto final de Firebase Realtime Database.
La aplicación cuentagotas solicita varios permisos, incluida la capacidad de escribir en un almacenamiento externo e instalar, actualizar o eliminar aplicaciones arbitrarias en dispositivos Android infectados que ejecutan Android 8 y versiones posteriores.
“El permiso ENFORCE_UPDATE_OWNERSHIP restringe las actualizaciones de la aplicación al propietario designado de la aplicación. El instalador inicial de una aplicación puede declararse el ‘propietario de la actualización’, controlando así las actualizaciones de la aplicación”, señaló Cyfirma.
“Este mecanismo garantiza que los intentos de actualización por parte de otros instaladores requieran la aprobación del usuario antes de continuar. Al designarse como propietario de la actualización, una aplicación maliciosa puede impedir actualizaciones legítimas de otras fuentes, manteniendo así su persistencia en el dispositivo”.
FireScam emplea varias técnicas de ofuscación y antianálisis para evadir la detección. También controla las notificaciones entrantes, los cambios de estado de la pantalla, las transacciones de comercio electrónico, el contenido del portapapeles y la actividad del usuario para recopilar información de interés. Otra función notable es su capacidad para descargar y procesar datos de imágenes desde una URL específica.
La aplicación fraudulenta Telegram Premium, cuando se inicia, solicita además el permiso de los usuarios para acceder a listas de contactos, registros de llamadas y mensajes SMS, después de lo cual se muestra una página de inicio de sesión para el sitio web legítimo de Telegram a través de WebView para robar las credenciales. El proceso de recopilación de datos se inicia independientemente de si la víctima inicia sesión o no.
Por último, registra un servicio para recibir notificaciones de Firebase Cloud Messaging (FCM), lo que le permite recibir comandos remotos y mantener un acceso encubierto, una señal de las amplias capacidades de monitoreo del malware. El malware también establece simultáneamente una conexión WebSocket con su servidor de comando y control (C2) para la filtración de datos y actividades de seguimiento.
Cyfirma dijo que el dominio de phishing también alojaba otro artefacto malicioso llamado CDEK, que probablemente sea una referencia a un servicio de seguimiento de paquetes y entregas con sede en Rusia. Sin embargo, la empresa de ciberseguridad dijo que no pudo obtener el artefacto en el momento del análisis.
Actualmente no está claro quiénes son los operadores, ni cómo se dirige a los usuarios a estos enlaces, ni si se trata de técnicas de phishing o publicidad maliciosa por SMS.
“Al imitar plataformas legítimas como la tienda de aplicaciones RuStore, estos sitios web maliciosos explotan la confianza del usuario para engañar a las personas para que descarguen e instalen aplicaciones falsas”, dijo Cyfirma.
“FireScam lleva a cabo sus actividades maliciosas, incluida la exfiltración de datos y la vigilancia, lo que demuestra aún más la eficacia de los métodos de distribución basados en phishing para infectar dispositivos y evadir la detección”.







