FireScam, sahte bir “Telegram Premium” uygulaması görünümüne bürünmüş çok aşamalı bir kötü amaçlı yazılımdır ve verileri çalarak ele geçirilen cihazlarda kalıcılığı korur ve yükünü dağıtmak ve Android cihazlara sızmak için kimlik avı web sitelerinden yararlanır.
Bu, bildirimler, mesajlar ve pano içeriği gibi kullanıcı verilerini çalan ve bunları Firebase Gerçek Zamanlı Veritabanına sızdıran, RuStore’u taklit eden bir kimlik avı web sitesi aracılığıyla dağıtılan sahte bir Telegram Premium uygulaması kılığına giren Android kötü amaçlı yazılımıdır.
Teknik Analiz
Sızdırılan veriler ilk olarak Firebase Gerçek Zamanlı Veritabanında “https” adresinde depolanır.[:]//androidcamru-varsayılan-rtdb[.]ateş üssü[.]Potansiyel filtrelemeden ve özel bir konuma aktarmadan önce com”.
Firebase Gerçek Zamanlı Veritabanı analizi, ‘kullanıcılar’ etiketi altında tehdit aktörlerinin ve kötü amaçlı yazılım kullanıcılarının potansiyel Telegram kimliklerini ortaya çıkarırken, ‘uygulama’ etiketi altında veritabanı, kötü amaçlı yazılım barındıran bir kimlik avı sitesinin URL’sini açığa çıkardı.
RuStore gibi meşru platformları taklit eden kimlik avı web siteleri, FireScam gibi kötü amaçlı yazılımları başarıyla dağıtıyor; bu kötü amaçlı yazılımlar, kullanıcının güvenini kullanarak “Telegram Premium” gibi kötü amaçlı uygulamalar sunmakta ve genellikle gizleme teknikleri ve gelişmiş kalıcılık mekanizmaları yoluyla tespitten kaçmaktadır.
GetAppsRu.apk, DexGuard tarafından korunan, yüklü uygulamaları sorgulayan ve harici depolamayı okuyan veya yazan kötü amaçlı bir damlalıktır.
Kullanıcının izni olmadan diğer uygulamaları yükler veya günceller ve Android 8 ila 15 çalıştıran cihazlara Telegram Premium.apk kılığında FireScam kötü amaçlı yazılımları sunar.
FireScam, ru.get.app çekirdek paketini gizlemek için NP Yöneticisini kullanarak tersine mühendisliği zorlaştırır ve ayrıca sanal alan tespitinden potansiyel olarak kaçınmak için boş sınıf mirası ve süreç adı doğrulamasını kullanır.
Ayrıca, cihaz ayrıntılarının parmak izini alarak sanallaştırılmış ortamları tanımlama yeteneğine de sahiptir; bu, potansiyel olarak saldırısını optimize edebilir ve güvenlik görevlilerini atlatmasına olanak tanıyabilir.
Firebase Cloud Messaging (FCM) kullanan bir uygulama, uzak bir sunucuyla sürekli iletişimi sürdürürken, potansiyel olarak güvenlik önlemlerini atlayarak uzaktan komutlar alabilir ve verileri sızdırabilir.
Kötü amaçlı bir uygulama, iletişim için bir arka kapı oluşturmak amacıyla özel izinlere sahip dinamik yayın alıcılarından yararlanır ve cihaz adı, uygulama adı, bildirim metni ve zaman damgaları dahil olmak üzere hassas cihaz bilgilerini sızdırmak için Firebase Gerçek Zamanlı Veritabanını kötüye kullanır.
Kritik izinler talep ederek kurbanın cihazına gizlice kurulur ve çalıştırılır. Kayıt için Firebase’den yararlanıyor ve kişilere, mesajlara ve potansiyel olarak diğer hassas bilgilere erişerek veri hırsızlığını başlatırken C2DM entegrasyonuna çalışıyor.
Cyfirma’ya göre FireScam, TLS şifreli GET isteklerini kullanarak hassas verileri ele geçirilen cihazlardan Firebase C2 sunucusuna sızdırıyor.
Bu istekler, WebSocket yükseltmesiyle birleştiğinde, veri sızmasını ve komuta ve kontrol işlemlerini kolaylaştırmak için gerçek zamanlı çift yönlü iletişime olanak tanır.
Telegram Premium kılığına giren bir Android kötü amaçlı yazılımı, kaçakçılık için Firebase’i kullanıyor ve kimlik avı web siteleri aracılığıyla dağıtarak hassas verileri çalıyor.
Cihaz etkinliğini izler ve bilgileri uzak sunuculara sızdırarak kullanıcı gizliliği ve güvenliği açısından önemli bir tehdit oluşturur.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free