Специалисты ИБ-компании Cyfirma выявили вредоносное ПО под названием FireScam, направленное на кражу данных пользователей Android-устройств, которое маскируется под приложение Telegram Premium и распространялось через страницу на GitHub, имитирующую российский магазин RuStore. Об этом сообщает BleepingComputer.

По словам экспертов, имитирующая RuStore вредоносная страница загружала на устройства жертв приложение под названием «GetAppsRu.apk», защищенное от обнаружения средствами защиты Android.

После установки программа получает необходимые разрешения для сканирования установленных приложений и доступа к хранилищу устройства, а также разрешение на загрузку дополнительных пакетов. Далее программа устанавливала основной вредонос «Telegram_Premium.apk», который запрашивал доступ к отслеживанию уведомлений, буферу обмена, содержимому SMS и другим данным.

При первом запуске FireScam, который мимикрирует под популярный мессенджер, отображает страницу авторизации в Telegram с целью кражи этих данных. Также приложение устанавливает связь с базой данных Firebase Realtime Database, куда передается похищенная информация.

FireScam также поддерживает постоянное соединение с удаленным сервером, что позволяет злоумышленникам выполнять различные команды на устройстве жертвы, включая запрос данных, настройку параметров слежения и загрузку дополнительного вредоносного ПО. Кроме того, приложение отслеживает активность на экране устройства и может перехватывать платежные данные.