Logiciel malveillant FireScam pour mobile
Une nouvelle menace Android nommée FireScam a été découverte. Elle se fait passer pour une version améliorée de l'application de messagerie Telegram. Cette tactique trompeuse permet au logiciel menaçant d'extraire des données utilisateur sensibles et de maintenir un accès à distance permanent aux appareils compromis.
Table des matières
Un déguisement astucieux : une fausse application Telegram Premium
FireScam est distribué sous le couvert d'une fausse application « Telegram Premium ». Il se propage via un site Web de phishing hébergé sur GitHub.io, qui se présente comme RuStore, une place de marché d'applications bien connue en Russie. Les analystes de sécurité décrivent cette menace mobile comme complexe et hautement adaptable. Une fois installée, elle suit un processus d'infection en plusieurs étapes, commençant par un APK dropper qui facilite une surveillance étendue.
Le site frauduleux, rustore-apk.github.io, imite l'interface de RuStore et est conçu pour inciter les utilisateurs à télécharger un fichier APK appelé « GetAppsRu.apk ».
Le rôle du Dropper dans l’attaque de FireScam
Une fois installé, le dropper sert de mécanisme de distribution pour la charge utile principale. Ce composant principal est chargé de collecter et de transmettre des informations sensibles (telles que des messages, des notifications et des données d'application) à une base de données en temps réel Firebase.
Pour renforcer son contrôle, le dropper demande plusieurs autorisations, qui incluent l'accès au stockage externe et la possibilité d'installer, de mettre à jour ou de supprimer des applications sur les appareils Android exécutant la version 8 et plus récente.
Un aspect particulièrement inquiétant de FireScam est son exploitation de l'autorisation ENFORCE_UPDATE_OWNERSHIP. Cette fonctionnalité Android permet à l'installateur d'origine d'une application de devenir son « propriétaire de mise à jour », ce qui signifie que seul le propriétaire désigné peut lancer les mises à jour. En exploitant ce mécanisme, FireScam peut bloquer les mises à jour légitimes provenant d'autres sources, garantissant ainsi sa présence continue sur l'appareil infecté.
Fonctionnalités avancées d’évasion et de surveillance
FireScam utilise des techniques d'obscurcissement pour résister à la détection et à l'analyse. Il surveille activement les notifications entrantes, les changements d'état de l'écran, l'activité des utilisateurs, le contenu du presse-papiers et même les transactions en ligne. La menace est également capable de télécharger et de traiter des images à partir d'un serveur distant, ajoutant ainsi une couche supplémentaire à ses capacités de surveillance.
Lors de son lancement, l'application Telegram Premium demande l'autorisation d'accéder aux contacts, aux journaux d'appels et aux SMS des utilisateurs. Elle présente ensuite une page de connexion qui reflète le site Web officiel de Telegram via une WebView, tentant de capturer les informations d'identification de l'utilisateur. Cependant, le processus de collecte de données est déclenché même si l'utilisateur ne saisit pas ses informations de connexion.
Maintenir un accès à distance permanent
L'une des fonctions les plus insidieuses de FireScam est sa capacité à s'enregistrer pour recevoir les notifications de Firebase Cloud Messaging (FCM). Cela permet à la menace de recevoir des instructions à distance et de maintenir un accès secret permanent à l'appareil. De plus, il établit une connexion WebSocket avec son serveur de commande et de contrôle (C2) pour faciliter le vol de données et exécuter d'autres actions dangereuses.
Autres composants nocifs et questions sans réponse
Les chercheurs ont également identifié un autre artefact nuisible hébergé sur le domaine de phishing, appelé « CDEK ». Ce nom fait probablement référence à un service russe de logistique et de suivi de colis, suggérant une activité malveillante plus vaste que celle de FireScam.
On ne sait pas encore qui se cache derrière cette opération ni comment les utilisateurs sont redirigés vers ces liens de phishing. Les tactiques potentielles peuvent impliquer le phishing par SMS (smishing) ou des campagnes de malvertising. En imitant des services légitimes comme RuStore, ces sites Web trompeurs manipulent la confiance des utilisateurs pour les convaincre de télécharger des applications frauduleuses.
La capacité de FireScam à exfiltrer des données et à effectuer une surveillance souligne les risques associés aux méthodes de distribution basées sur le phishing. Ce cas met en évidence les défis permanents liés à la protection des utilisateurs Android contre les menaces qui exploitent l'ingénierie sociale et la confiance dans des plateformes bien connues.