Yeni yıl, yeni korku: ‘FireScam’ olarak adlandırılan, yeni tanımlanan bir Android kötü amaçlı yazılımı var; bu, GitHub’da barındırılan kimlik avı web siteleri aracılığıyla Telegram Premium uygulamasının sahte bir sürümü olarak dağıtılıyor.
Bu siteler taklit ediyor RuStoretarafından hazırlanan bir rapora göre, Rusya’nın hükümet destekli uygulama pazarı, Batı yaptırımlarına yanıt olarak Google Play ve Apple App Store’a alternatif olarak 2022’de başlatıldı. BleepingBilgisayar okur.
Siber güvenlik uzmanlarına göre, kimlik avı siteleri ilk olarak şu adla bilinen kötü amaçlı bir yükleyici dosyası sunuyor: GetAppsRu.apkdamlalık modülü olarak bilinir. Damlalık, kötü amaçlı yazılımlar için dağıtım aracı görevi gören bir yazılım türüdür. Bu dosya adı verilen bir teknik kullanılarak gizlenmiştir. DexGuardgerçek amacını gizlemek ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için tasarlanmıştır. Damlalık yüklendikten sonra yüklü uygulamaları analiz etmesine, cihazın depolama alanına erişmesine ve ek dosyalar yüklemesine izin veren izinler ister. Damlalık daha sonra ana kötü amaçlı yazılımı, kılığına girerek dağıtır. Telegram Premium.apkBildirimlere, pano verilerine, SMS mesajlarına ve telefon hizmetlerine erişim için kapsamlı izinler talep eden. Uygulama çalıştırıldığında kullanıcılara Telegram’ın arayüzüne benzeyen sahte bir giriş ekranı sunuyor. Bu sahte ekran, kullanıcıların kimlik bilgilerini ele geçirip saldırganlara gönderiyor. Eğlenceli değil, değil mi?
FireScam, meşru bir bulut platformu olan Firebase’i kullanarak uzak bir veritabanıyla iletişim kurar. Çalınan verileri gerçek zamanlı olarak yükler ve izleme için cihazları benzersiz tanımlayıcılarla kaydeder. Kötü amaçlı yazılım ayrıca komutları almak, daha fazla kötü amaçlı dosya indirmek ve gözetim faaliyetlerini ayarlamak için Firebase ile sürekli iletişimi sürdürebilir.
Ayrıca FireScam, hassas finansal bilgilerin çalınmasını amaçlayan ekran değişiklikleri ve e-ticaret işlemleri gibi kullanıcı etkinliklerini titizlikle takip eder. Parola yöneticileri tarafından otomatik olarak doldurulan veya uygulamalar arasında paylaşılan veriler dahil, kullanıcıların yazdığı, kopyaladığı veya etkileşimde bulunduğu her şeyi yakalar. Bu bilgiler değerli içeriğe göre sınıflandırıldıktan sonra saldırganlara gönderilir. Kesinlikle hiç de eğlenceli değil! Araştırmacılar, FireScam’in gelişmiş tasarımının ve gelişmiş kaçınma tekniklerini kullanmasının onu özellikle tehlikeli hale getirdiğini belirtiyor. Saldırganların kimliği bilinmemekle birlikte rapor, kullanıcılara uygulamaları indirirken dikkatli olmalarını, güvenilmeyen kaynaklardan gelen dosyalardan kaçınmalarını ve bu tür tehditlerin kurbanı olma riskini en aza indirmek için tanıdık olmayan bağlantılara tıklamaktan kaçınmalarını tavsiye ediyor. Sadece bunu yapmanız gerekiyor.
