MUNICH (IT BOLTWISE) – Une nouvelle menace pour les utilisateurs d’Android est apparue : le malware FireScam usurpe l’identité de Telegram Premium pour voler des données sensibles et prendre le contrôle des appareils infectés.
Une nouvelle menace est apparue dans le monde de la sécurité mobile et cible les utilisateurs d’Android. Le malware FireScam, qui se fait passer pour une version premium de la populaire application de messagerie Telegram, cible les données et le contrôle des appareils. Ce malware sophistiqué est distribué via un site Web de phishing hébergé sur GitHub.io qui imite le populaire magasin d’applications russe RuStore. Le malware utilise un processus d’infection en plusieurs étapes, en commençant par un compte-gouttes APK qui effectue des activités de surveillance approfondies après l’installation. Le site de phishing rustore-apk.github[.]io est conçu pour fournir le fichier APK compte-gouttes « GetAppsRu.apk ». Une fois installé, le compte-gouttes agit comme un moyen de transport pour la charge utile principale, exfiltrant les données sensibles telles que les notifications, les messages et les données d’application vers un point de terminaison de la base de données en temps réel Firebase. L’application compte-gouttes demande plusieurs autorisations, notamment l’écriture sur un stockage externe et l’installation, la mise à jour ou la suppression de toute application sur les appareils Android infectés version 8 ou ultérieure. Une caractéristique notable du malware est la possibilité de s’enregistrer en tant que propriétaire de la mise à jour, ce qui empêche les mises à jour légitimes provenant d’autres sources, garantissant ainsi leur persistance sur l’appareil. FireScam utilise diverses techniques d’obscurcissement et d’anti-analyse pour échapper à la détection. Il surveille les notifications entrantes, les changements d’état de l’écran, les transactions de commerce électronique, le contenu du presse-papiers et l’activité des utilisateurs pour collecter des informations intéressantes. Une autre fonctionnalité notable est la possibilité de télécharger et de traiter des données d’image à partir d’une URL spécifiée. La fausse application Telegram Premium demande l’autorisation d’accéder aux listes de contacts, aux journaux d’appels et aux messages SMS lors du lancement avant d’afficher une page de connexion au site Web légitime de Telegram via une WebView afin de voler les informations de connexion. Le processus de collecte de données est lancé indépendamment du fait que la victime se connecte ou non. Enfin, le malware enregistre un service pour recevoir les notifications Firebase Cloud Messaging, lui permettant de recevoir des commandes à distance et de maintenir un accès secret – signe des capacités de surveillance étendues du malware. Le malware établit simultanément une connexion WebSocket à son serveur de commande et de contrôle pour exfiltrer les données et effectuer des activités de suivi. On ne sait actuellement pas clairement qui sont les opérateurs ni comment les utilisateurs sont dirigés vers ces liens, ni si des techniques de phishing par SMS ou de publicité malveillante sont impliquées. Ces sites Web malveillants exploitent la confiance des utilisateurs dans les plateformes légitimes telles que la boutique d’applications RuStore pour tromper les individus et les inciter à installer de fausses applications. FireScam mène ses activités malveillantes, notamment l’exfiltration de données et la surveillance, démontrant ainsi l’efficacité des méthodes de distribution basées sur le phishing pour infecter les appareils et échapper aux détections.
Le malware FireScam se déguise en Telegram Premium et menace les appareils Android (Photo : DALL-E, IT BOLTWISE)
Un avis : Certaines parties de ce texte peuvent avoir été générées à l’aide de l’intelligence artificielle.
Merci d’adresser tout complément et information à la rédaction par email à de-info[at]it-boltwise.de. N’oubliez pas d’inclure le titre de l’article dans votre e-mail : “Le malware FireScam se déguise en Telegram Premium et menace les appareils Android”.
#malware #FireScam #déguise #Telegram #Premium #menace #les #appareils #Android