A ISH Tecnologia alerta para um aplicativo falso que se passa pela versão premium do Telegram para baixar um malware em dispositivos Android. Conhecido como FireScam, o software malicioso rouba dados e monitora a atividade das vítimas sem seu consentimento.
O malware é distribuído por meio de um site de phishing que imita a RuStore, utilizada para download legítimo de aplicativos na Rússia. A loja, lançada em 2022, é uma alternativa ao Google Play e a App Store da Apple, por conta das sanções ocidentais que afetaram o acesso de usuários russos a softwares móveis.
Projetado para ser um spyware eficiente, o FireScam tem a capacidade de monitorar as mais diversas atividades nos aparelhos infectados. Seu potencial de controle assume a supervisão de notificações, mensagens, respostas e conteúdo da área de transferência. Além disso, o malware envia os dados capturados para servidores remotos a partir do Firebase Realtime Database, e permite que invasores acessem esses materiais.
Método de ataque
O arquivo APK obtido no site de phishing atua como um dropper. Após a instalação, o FireScam se disfarça como a versão premium do Telegram para iniciar o processo de roubo de dados.
Segundo o time de Inteligência de Ameaças da ISH, o FireScam usa o NP Manager para proteger o pacote ru.get.app contra análise e engenharia reversa, ao empregar criptografia e ofuscação. Ele identifica ambientes de depuração ou sandbox, e ajusta seu comportamento para evitar detecção. O spyware define permissões personalizadas para limitar o acesso, criando um backdoor que permite a comunicação com outros aplicativos maliciosos.
O material da ISH revela ainda que invasores utilizam o malware para monitorar atividades do aplicativo de mensagens no dispositivo comprometido e acessar demais dados de comunicação confidenciais, para facilitar a vigilância e roubo de dados.
Prevenção
Como recomendação para evitar a disseminação maliciosa do FireScam, a ISH Tecnologia recomenda, em primeiro lugar, que os usuários priorizem lojas seguras e confiáveis para o download de aplicativos, tendo cuidado com as URLs e avaliações de usuários.
Além disso, a empresa também destaca que é importante aderir a firewalls de aplicativos web para filtrar e bloquear atividades suspeitas, além de desenvolver um plano abrangente de resposta a incidentes.
