Фахівці компанії Cyfirma, що займається кібербезпекою, виявили нове шкідливе програмне забезпечення на Android-пристроях, яке називається FireScam. Воно маскується під офіційний додаток Telegram Premium і розповсюджується через фальшиву сторінку на GitHub, що імітує російський магазин RuStore.
За словами експертів, фальшива сторінка завантажує на пристрій жертв файл “GetAppsRu.apk”, який здатний обходити засоби захисту Android. Після інсталяції програма отримує необхідні дозволи для сканування встановлених додатків, доступу до сховища та можливість завантаження додаткових файлів. Далі вона встановлює основне шкідливе ПЗ “Telegram_Premium.apk”, яке запитує доступ до сповіщень, буфера обміну, SMS та інших особистих даних.
При першому запуску FireScam, який виглядає як Telegram, на екрані з’являється фальшиве вікно авторизації для крадіжки даних користувача. Додаток також підключається до Firebase Realtime Database, де зловмисники отримують викрадену інформацію.
FireScam підтримує постійне з’єднання з віддаленим сервером, що дозволяє хакерам виконувати команди на заражених пристроях, отримувати додаткові дані та завантажувати нові шкідливі програми. Крім того, цей додаток може моніторити активність на екрані пристрою та перехоплювати платіжні дані користувачів.
