بدافزار FireScam، یک نوع بدافزار اندرویدی است که به صورت جعلی و تحت عنوان نسخه پریمیوم تلگرام توزیع میشود و هدف اصلی آن سرقت دادههای حساس کاربران و کنترل دستگاههای آلوده است. این بدافزار از روشهای فریبنده برای جلب اعتماد کاربران و آلوده کردن دستگاههای اندرویدی استفاده میکند.
FireScam از طریق یک وب سایت فیشینگ میزبانی شده در GitHub.io توزیع میشود. این بدافزار از یک فرآیند نفوذ چند مرحلهای استفاده میکند که با یک نصب کننده APK آغاز میشود و پس از نصب، فعالیتهای نظارتی گستردهای را انجام میدهد.
سایت فیشینگ مورد بحث، rustore-apk.github[.]io، هویت RuStore را جعل و الگوبرداری کرده است. RuStore یک فروشگاه اپلیکیشن میباشد که توسط VK ، غول فناوری روسی در این کشور راه اندازی شده است. این سایت، فایل نصب کننده APK (‘GetAppsRu.apk’) را توزیع میکند.
APK پس از نصب، پیلودی را که مسئول انتقال دادههای حساس از جمله نوتیفیکیشنها، پیامها و سایر دادههای برنامه به پایگاه داده بلادرنگ Firebase است، روی دستگاه مستقر میکند.
این نصب کننده چندین مجوز از جمله توانایی نوشتن در حافظه خارجی و نصب، بهروزرسانی یا حذف برنامههای دلخواه در دستگاههای اندروید آلوده دارای Android 8 و بالاتر را درخواست میکند.
مجوز ENFORCE_UPDATE_OWNERSHIP بهروزرسانیهای برنامه را به مالک تعیینشده برنامه محدود میکند. از این رو، نصبکننده اولیه یک برنامه میتواند خود را «مالک بهروزرسانی» یا update owner اعلام کند و از این طریق آپدیتهای برنامه را کنترل نماید.
این مکانیزم تضمین میکند که تلاشهای بهروزرسانی توسط نصبکنندههای دیگر، قبل از ادامه، به تأیید کاربر نیاز دارد. یک برنامه مخرب با تعیین خود به عنوان مالک بهروزرسانی، میتواند از بهروزرسانیهای قانونی از منابع دیگر جلوگیری کند و در نتیجه تداوم دسترسی خود را در دستگاه حفظ نماید.
FireScam از تکنیکهای مبهم سازی و ضد تجزیه و تحلیل مختلف برای فرار از تشخیص استفاده میکند. این بدافزار همچنین نوتیفیکیشن دریافتی، تغییرات وضعیت صفحه نمایش، تراکنشها، محتوای کلیپبورد و فعالیت کاربر را برای جمعآوری اطلاعات مورد علاقه نگهداری میکند. یکی دیگر از عملکردهای قابل توجه FireScam، توانایی آن برای دانلود و پردازش دادههای تصویری از یک URL مشخص است.
اپلیکیشن مخرب Telegram Premium، پس از راهاندازی، بیشتر به دنبال مجوز کاربر برای دسترسی به لیست تماسها، گزارش تماسها و پیامهای SMS میباشد و پس از آن صفحه ورود به وبسایت قانونی تلگرام از طریق WebView را نمایش داده میدهد تا دادههای لاگین را به سرقت برد.
بدافزار FireScam در نهایت، سرویسی را برای دریافت اعلانهای FCM[1] ثبت میکند که به آن اجازه میدهد دستورات را از راه دور دریافت کند و دسترسی خود را حفظ نماید ( نشانهای از قابلیتهای نظارت گسترده بدافزار). این بدافزار همچنین به طور همزمان یک اتصال WebSocket با سرور فرماندهی و کنترل (C2) خود برای استخراج دادهها و فعالیتهای بعدی برقرار میکند.
روشهای پیشگیری
دانلود برنامهها از منابع معتبر:
همیشه برنامهها را از فروشگاههای رسمی مانند Google Play دانلود کنید و از نصب فایلهای APK از منابع ناشناخته خودداری کنید.
۱. بررسی دسترسیها:
هنگام نصب برنامه، دسترسیهای درخواستی را بررسی کنید. اگر برنامهای دسترسیهای غیرضروری مانند دوربین یا پیامک درخواست میکند، مشکوک شوید.
۲. استفاده از آنتیویروس:
از برنامههای امنیتی معتبر برای اسکن و شناسایی بدافزارها استفاده کنید.
۳. بروزرسانی سیستمعامل و برنامهها:
همیشه دستگاه خود را با جدیدترین نسخههای سیستمعامل و برنامههای رسمی بهروزرسانی کنید.
۴. آگاهی از حملات فیشینگ:
به پیامهای مشکوکی که لینک دانلود یا وعده امکانات اضافی میدهند، اعتماد نکنید.
در صورت آلوده شدن دستگاه:
۱. حذف برنامه مشکوک:
به تنظیمات دستگاه رفته و برنامه مشکوک را حذف کنید.
۲. بازنشانی به تنظیمات کارخانه (Factory Reset):
چنانچه بدافزار همچنان باقی مانده است، دستگاه را به تنظیمات کارخانه بازگردانید.
۳. تغییر رمزهای عبور:
رمزهای عبور حسابهای کاربری خود را فوراً تغییر دهید، بهویژه حسابهایی که از طریق دستگاه آلوده شدهاند.
سخن پایانی
FireScam یکی دیگر از نمونههای بدافزارهایی است که از محبوبیت برنامههایی مانند تلگرام برای فریب کاربران استفاده میکند. کاربران باید همیشه نسبت به برنامههای جعلی و وعدههای اغراقآمیز آنها هوشیار باشند و از اقدامات امنیتی مناسب استفاده کنند.
[1] Firebase Cloud Messaging
منابع
مقالات پیشنهادی:
حمله تروجان بانکی TrickMo به دستگاههای اندرویدی
تروجان Necro، یازده میلیون دستگاه اندروید را آلوده کرد!
بدافزار اندرویدی Spyloan در گوگل پلی، ۸ میلیون بار نصب شده است
نفوذ بدافزار جدید اندرویدی Droidbot به اپلیکیشنهای بانکی و ارز دیجیتال
توزیع جاسوس افزارهای اندرویدی Bonespy و Plaingnome توسط گروه Gamaredon
