“FireScam” adı verilen yeni bir gelişmiş Android casus yazılım tehdidi, sahte bir Telegram Premium uygulamasını kullanarak kurbanların telefonlarına kurbanlarını takip edebilen, izleyebilen ve hassas verileri toplayabilen bir bilgi hırsızı bırakıyor.
Yeni bir FireScam analizinin arkasındaki Cyfirma’daki araştırmacılar, kampanyanın, kötü amaçlı yazılımları meşru uygulamalar ve hizmetler olarak gizleyerek başarı elde eden tehdit aktörlerinin daha geniş bir eğiliminin parçası olduğunu söyledi. Bu durumda meşru Firebase’i kötüye kullanıyorlar. bulut platformu Google mobil ve Web uygulamalarının geliştiricileri tarafından yaygın olarak kullanılmaktadır.
“FireScam, popüler uygulamaların ve Firebase gibi yasal hizmetlerin yaygın kullanımından yararlanarak, modern kötü amaçlı yazılımların tespitten kaçınmak, veri hırsızlığı yapmak ve güvenliği ihlal edilmiş cihazlar üzerinde kalıcı kontrol sağlamak için kullandığı gelişmiş taktiklere örnek teşkil ediyor.” rapor açıkladı. “FireScam, mesajlaşma uygulamalarının ve diğer yaygın olarak kullanılan uygulamaların popülaritesinden yararlanarak dünya çapındaki bireyler ve kuruluşlar için önemli bir tehdit oluşturuyor.”
Enfeksiyon rutini GitHbub’da barındırılan bir kimlik avı sitesiyle başlar[dot]Raporda, io alan adının RuStore uygulama mağazasına benzeyecek şekilde süslendiği belirtildi. Site, Telegram Premium’un kötü amaçlı bir sürümünü yayınlıyor ve bu sürüm daha sonra hedeflenen Android cihazından bildirimler, mesajlar ve daha fazlası dahil olmak üzere verileri çalıyor ve bunları bir Firebase Gerçek Zamanlı Veritabanı uç noktasına gönderiyor.
Raporda, FireScam kurulduktan sonra kalıcılığı korumak ve gerektiğinde ek kötü amaçlı yazılımlar sunmak için düzenli kontroller ve analizler, komut ve kontrol iletişimleri (C2) ve veri depolama kullandığı belirtiliyor.
Salt Security siber güvenlik stratejisi direktörü Eric Schwake yaptığı açıklamada, “FireScam kötü amaçlı yazılım kampanyası, mobil tehdit ortamında endişe verici bir gelişmeyi ortaya koyuyor: Android cihazlarını hedef alan kötü amaçlı yazılımlar giderek daha karmaşık hale geliyor.” dedi. “Kötü amaçlı yazılım dağıtımı için kimlik avı web sitelerini kullanmak yeni bir taktik olmasa da, FireScam’in Telegram Premium uygulaması gibi görünmek ve RuStore uygulama mağazasını kullanmak gibi özel yöntemleri, saldırganların şüphelenmeyen kullanıcıları yanıltmak ve tehlikeye atmak için gelişen tekniklerini gösteriyor.”
FireScam Gibi Casus Yazılımları Durdurmaya Yönelik Çözümler
SlashNext Email Security+ saha CTO’su Stephen Kowski’nin açıklamasına göre, bu tehditler giderek daha karmaşık hale gelirken siber savunucuların anormal uygulama etkinliklerine odaklanması önemli.
Kowski, “Bu saldırılar genellikle kullanıcının güvenini ve meşru dağıtım kanallarını istismar ederek geleneksel güvenlik önlemlerini atladığından, gerçek zamanlı mobil uygulama taraması ve sürekli izleme çok önemli korumalardır” diye yazdı. “Bu tür tehditlere karşı korumanın anahtarı, şüpheli izin isteklerini ve yetkisiz uygulama davranışlarını, hassas veriler tehlikeye atılmadan önce tespit edebilen güvenlik çözümlerini uygulamaktır.”
Schwake şunu ekledi: uygulama programlama arayüzlerini (API’ler) koruma Ayrıca kullanıcıların giderek daha ikna edici hale gelen kimlik avı tuzaklarından korunmasına da yardımcı olabilir.
Kowski, “Bu saldırılar genellikle kullanıcının güvenini ve meşru dağıtım kanallarını suistimal ederek geleneksel güvenlik önlemlerini atladığından, gerçek zamanlı mobil uygulama taraması ve sürekli izleme çok önemli korumalardır” diye yazdı. “Bu tür tehditlere karşı korumanın anahtarı, şüpheli izin isteklerini ve yetkisiz uygulama davranışlarını, hassas veriler tehlikeye atılmadan önce tespit edebilen güvenlik çözümlerini uygulamaktır.”