Yeni FireScam Infostealer Casus Yazılımı, Fake Telegram Premium Aracılığıyla Android’e Ulaşıyor

   Ocak 4, 2025  Posted in HackRead


ÖZET

  • FireScam Kötü Amaçlı Yazılım: FireScam, güvenilir uygulama mağazalarını taklit eden kimlik avı web siteleri aracılığıyla Android kullanıcılarını hedef alan bir “Telegram Premium” uygulaması kılığına giriyor.
  • Kötü Amaçlı Yetenekler: Hassas verileri çalar, uygulamaları izler, cihaz etkinliğini izler ve gelişmiş izinler aracılığıyla kalıcılık sağlar.
  • Kaçınma Teknikleri: FireScam, geleneksel güvenlik önlemlerini atlatmak için gizleme, kısıtlı erişim ve korumalı alan algılamayı kullanır.
  • Kullanım Yöntemleri: Sosyal mühendislik ve kimlik avı taktikleri, kullanıcının güvenini istismar ederek kimlik hırsızlığına ve mali dolandırıcılığa yol açar.
  • Savunma Önerileri: Uzmanlar, gelişmiş mobil güvenlik için antivirüs yazılımı kullanılmasını, düzenli güncellemeler yapılmasını ve uygulama davranışlarının izlenmesini tavsiye ediyor.

Cyfirma’daki siber güvenlik araştırmacılarının gözlemlerine göre, mobil uygulamaların hızlı bir şekilde benimsenmesi, bu uygulamalara kötü amaçlı yazılım yerleştirilmesiyle ilgili vakaların sayısındaki artış göz önüne alındığında, tehdit aktörlerine masum kullanıcıları sömürmek için değerli bir fırsat sağladı.

Hackread.com ile paylaşılan araştırmaya göre FireScam, Android cihazları hedef alan meşru bir uygulama olarak gizlenen, bilgi çalan kötü amaçlı yazılımların en son örneği. Blog yazısında araştırmacılar, sosyal mühendislik taktikleri ve kimlik avı tekniklerinden yararlanarak kullanıcıların cihazlarını tehlikeye attığını ve oturum açma kimlik bilgileri, finansal bilgiler ve kişisel mesajlar gibi hassas verileri çalarak kullanıcı gizliliğine önemli bir tehdit oluşturduğunu belirtti.

FireScam öncelikle popüler uygulama mağazalarını taklit etmek üzere tasarlanmış kimlik avı web siteleri aracılığıyla yayılıyor. Bu durumda, kötü amaçlı yazılım bir “Telegram Premium” uygulaması kılığına giriyor ve Rusya Federasyonu’nun önde gelen uygulama mağazası RuStore’a benzeyen GitHub.io tarafından barındırılan bir kimlik avı web sitesi aracılığıyla dağıtılıyor. Bu aldatıcı strateji, kullanıcıların yerleşik uygulama mağazalarına olan güveninden yararlanarak onları kötü amaçlı APK dosyasını indirmeye teşvik ediyor.

Yeni FireScam Infostealer Casus Yazılımı, Fake Telegram Premium Aracılığıyla Android'e Ulaşıyor
Sahte Telegram Premium (Cyfirma Aracılığıyla)

Damlalık, kurbanın cihazına yüklendikten sonra yüklü uygulamaları sorgulama ve listeleme, harici depolamaya erişme, uygulamaları silme ve yükleme ve kullanıcının izni olmadan güncelleme izinleri veriyor. Kendisini belirlenmiş sahibi olarak ilan eder ve uygulama güncellemelerini kısıtlayarak diğer yükleyicilerin uygulamayı güncellemesini engeller ve cihazın kalıcılığını sağlar.

FireScam, hassas kullanıcı verilerini çalmak ve cihaz etkinliklerini izlemek için tasarlanmış kapsamlı kötü amaçlı işlevlere sahiptir. Bildirimler, mesajlar ve uygulama verileri dahil olmak üzere hassas verileri Firebase Gerçek Zamanlı Veritabanı uç noktasına sızdırır ve çeşitli uygulamalardaki bildirimleri aktif olarak izleyerek hassas bilgileri yakalar ve kullanıcı etkinliklerini takip eder. Üstelik USSD yanıtlarını yakalayarak hesap bakiyeleri ve mobil işlem ayrıntıları gibi finansal verileri tehlikeye atıyor.

Kötü amaçlı yazılım, panoyu, uygulamalar arasında paylaşılan içeriği ve cihaz durumu değişikliklerini aktif olarak izliyor. Ayrıca, satın almalar veya geri ödemeler dahil olmak üzere e-ticaret uygulamalarındaki kullanıcı etkinliklerini de izleyebiliyor ve öncelikli olarak mesajlaşma uygulamalarını, içeriği yakalayıp uzak sunuculara sızdırmayı hedefliyor. Ekran etkinliğini izler ve önemli olayları komuta ve kontrol sunucusuna yükler.

Kaçınmaya ilişkin olarak FireScam, tespitten kaçınmak için gelişmiş gizleme teknikleri, dinamik alıcılar için sınırlı erişim kontrolü ve sanal alan tespit mekanizmaları kullanır. Ayrıca uzaktan kontrol için Firebase Cloud Messaging bildirimleri aracılığıyla komutları alıp yürütebilir.

Cihaz etkinliklerinin sürekli izlenmesi, saldırganların kimlik avı saldırıları, kimlik hırsızlığı ve finansal dolandırıcılık gibi kötü amaçlarla kullanıcı davranışlarından yararlanmasına olanak tanır. Kötü amaçlı yazılımın varlığı, hassas verilerin gizliliğini ve bütünlüğünü tehlikeye atabilir ve bireyleri ve kuruluşları, özellikle de hassas bilgileri işleyenleri etkileyebilir. Bu, güvenilir antivirüs yazılımı kullanma, düzenli yazılım güncellemeleri gerçekleştirme ve çevrimiçi ortamda dikkatli olma ihtiyacını vurgulamaktadır.

SlashNext Email Security+ Saha CTO’su Stephen Kowski, Hackread.com’a şunları söyledi: Siber suçlular, Telegram’ın premium adı gibi güvenilir markalardan yararlanıyor. FireScam’in kalıcılığı, izin manipülasyonuna ve Firebase Cloud Messaging’e dayanır. Gelişmiş mobil tehdit tespiti, gerçek zamanlı uygulama taraması ve sürekli izleme, kullanıcının güvenini ve meşru kanalları istismar eden bu tür karmaşık saldırılara karşı koymak için kritik öneme sahiptir.

  1. DroidBot Android Casus Yazılımı Bankacılığı ve Kripto Kullanıcılarını Hedefliyor
  2. Android Kötü Amaçlı Yazılım Ajina.Banker Telegram aracılığıyla 2FA Kodlarını Çaldı
  3. GSMS Hırsızı, Kötü Amaçlı Uygulamalar ve Reklamlar Yoluyla Android Kullanıcılarını Ele Geçiriyor
  4. Google Play Store’daki 8 Uygulama Android/FakeApp Truva Atı İçeriyor
  5. Octo2 Kötü Amaçlı Yazılımı Android Cihazlara Bulaşmak İçin Sahte NordVPN Uygulamasını Kullanıyor





Source link