Il Malware FireScam Sfrutta l’App Premium di Telegram per Rubare i Dati degli Utenti

Una nuova variante di malware Android, chiamata FireScam, sta prendendo di mira gli utenti fingendosi un’applicazione Telegram Premium, come riportato per la prima volta dagli esperti di cybersecurity su CYFIRMA.

Attraverso un sito web di phishing progettato per imitare RuStore, un popolare app store in Russia, il malware utilizza tecniche sofisticate per infiltrarsi nei dispositivi, rubare dati sensibili ed eludere il rilevamento.

The Hacker News riferisce che è ancora poco chiaro chi siano gli operatori, come gli utenti vengano indirizzati a questi link, o se siano coinvolte tecniche di phishing tramite SMS o malvertising.

I ricercatori notano che FireScam viene distribuito attraverso un sito di phishing ospitato su GitHub.io che impersona RuStore, inducendo gli utenti a scaricare un APK maligno. La finta app promette funzionalità Premium di Telegram ma invece attiva un processo di infezione multi-fase.

Tutto inizia con un dropper APK che scarica e installa il malware FireScam, mascherandolo come una applicazione legittima. Una volta installato, FireScam conduce un’ampia sorveglianza sul dispositivo infetto.

Raccoglie dati sensibili come notifiche, messaggi e attività degli appunti. Il malware monitora anche le interazioni del dispositivo, compresi i cambiamenti dello stato dello schermo e le transazioni di e-commerce, fornendo agli aggressori preziose informazioni sul comportamento dell’utente.

FireScam si affida a Firebase Realtime Database come parte del suo sistema di comando e controllo, essenziale per gestire le sue attività malevole. Questo database funge da spazio di archiviazione per le informazioni che il malware ruba dai dispositivi infetti.

Una volta che i dati vengono caricati, gli aggressori li setacciano per identificare pezzi di valore, come dati personali sensibili o informazioni finanziarie. Qualsiasi dato considerato non necessario viene eliminato per evitare di destare sospetti.

Nel caso di FireScam, l’utilizzo di Firebase, un servizio legittimo e ampiamente utilizzato, aiuta il malware a mimetizzarsi, rendendo più difficoltoso per gli strumenti di sicurezza rilevare e bloccare le sue attività. Firebase viene anche impiegato per inviare ulteriori payload malevoli, permettendo agli aggressori di mantenere un controllo persistente sui dispositivi compromessi.

Il malware impiega l’offuscamento per nascondere le sue intenzioni ed evitare il rilevamento da parte degli strumenti di sicurezza. Esegue anche controlli sull’ambiente per identificare se è in esecuzione in un ambiente di analisi o virtualizzato, complicando ulteriormente gli sforzi per tracciare le sue attività.

Sfruttando la popolarità di app ampiamente utilizzate come Telegram e servizi legittimi come Firebase, FireScam evidenzia le tattiche avanzate impiegate dagli attori moderni delle minacce. La capacità del malware di rubare informazioni sensibili e mantenere il proprio stealth rappresenta un rischio significativo sia per gli utenti individuali che per le organizzazioni.

Information Security Buzz (ISB) riporta che Eric Schwake, Direttore della Strategia di Sicurezza Informatica presso Salt Security, evidenzia l’aumento della sofisticazione del malware Android, esemplificato da FireScam.

“Anche se l’utilizzo di siti di phishing per la distribuzione di malware non è una tattica nuova, i metodi specifici di FireScam – come il mascheramento come l’app Telegram Premium e l’utilizzo del negozio di app RuStore – illustrano le tecniche in evoluzione degli attaccanti per ingannare e compromettere gli utenti ignari,” ha detto Schwake secondo quanto riportato da Dark Reading.

ISB riferisce che Schwake sottolinea la necessità di una robusta sicurezza delle API, poiché i dispositivi compromessi possono accedere a dati sensibili attraverso le API delle app mobili. Un’autenticazione forte, la crittografia e un monitoraggio continuo sono essenziali per mitigare questi rischi.

Per contrastare FireScam, i ricercatori di CYFIRMA suggeriscono di utilizzare l’intelligence sulle minacce, una solida sicurezza degli endpoint e un monitoraggio basato sul comportamento. Suggeriscono inoltre l’uso di firewall per bloccare i domini malevoli e l’elenco bianco delle applicazioni per prevenire l’esecuzione di eseguibili non autorizzati.