I ricercatori di Cyfirma avvertono gli utenti di smartphone Android. Gli esperti dell’azienda singaporiana hanno infatti scoperto che un nuovo malware, chiamato FireScamsi sta attualmente diffondendo sui telefoni.
Il malware si nasconde in una falsa versione premium dell’app Telegram. Questa versione fraudolenta, il cui codice contiene il malware, è condivisa su imitazioni di RuStorel’alternativa russa al Play Store di Google e all’App Store di Apple. La piattaforma è nata all’indomani della guerra in Ucraina, in seguito alle sanzioni imposte contro la Russia. Queste pagine che imitano RuStore sono distribuite attraverso la piattaforma Github.
Leggi anche: Violati 30.000 dispositivi Android: devono essere “immediatamente disconnessi da Internet”
Tattiche di evasione sofisticate
Innanzitutto, la pagina dannosa proporrà innanzitutto di installare un file denominato GetAppsRu.apk. Si tratta di un dropper, un programma utilizzato per installare silenziosamente altri malware aggirando i meccanismi di sicurezza degli smartphone presi di mira. Il virus attiva il payload dannoso solo dopo aver superato le difese del dispositivo. Questo è un “processo di infezione in più fasi”. Questa è una tattica classica ma efficace, sfruttata in modo massiccio dai criminali informatici.
Come ha notato Cyfirma, il codice viene offuscato anche con DexGuard, uno strumento che codifica il codice del software, sempre con l’obiettivo di evitare il rilevamento da parte degli antivirus. Dopo l’installazione, saranno necessarie alcune autorizzazioni. Il dropper quindi scarica e installa un secondo file dannoso denominato Telegram Premium.apk. Ancora una volta, il virus richiede numerosi permessi all’utente, come la possibilità di leggere notifiche, messaggi di testo ed effettuare chiamate. Vuole anche essere in grado di visualizzare i dati degli appunti.
Un saccheggiatore di dati
È qui che entra in gioco FireScam. Questo infatti è nascosto nel codice della versione fraudolenta di Telegram. Una volta che è riuscito a entrare nello smartphone del suo bersaglio, verrà visualizzato una pagina di accesso dannosa. Questo richiede le credenziali di accesso a Telegram dell’utente. Con questi dati gli hacker potranno prendere il controllo dell’account della vittima.
Tuttavia, l’attacco informatico non si ferma qui. Il virus farà tutto il possibile per sottrarre tutti i dati memorizzati o in transito sullo smartphone. Tutti i dati copiati e incollati lo sono raccolti e trasmessi ad un server da lontano. Il malware è capace di “mantenere un controllo persistente sui dispositivi compromessi”. Monitora continuamente “cambiamenti dello stato dello schermo, transazioni e-commerce, attività degli appunti e interazioni utente” raccogliere con discrezione informazioni sensibili. Allo stesso tempo, può anche esfiltrare dati dalle applicazioni di sistema.
Leggi anche: Attacco informatico russo su Android – 2 virus spia lanciano il furto di dati
Una minaccia “sofisticata e multiforme”.
FireScam prende di mira principalmente password o dettagli bancari, presumibilmente con l’obiettivo di spogliare i conti bancari obiettivi. I ricercatori considerano FireScam un virus spia particolarmente formidabile nel campo del furto di dati.
Questa è una nuova minaccia “sofisticato e poliedrico” che si rivolge ai dispositivi Android. Come sempre, ti invitiamo a favorire le applicazioni verificate di sviluppatori affidabili.
???? Per non perdere nessuna novità da 01net, seguici su Google News e WhatsApp.
Fonte :
Cyfirma
