Um malware do tipo “infostealer” chamado FireScam, disfarçado como um aplicativo falso do Telegram Premium, foi identificado sendo distribuído através de um site de phishing no GitHub.io que imita a RuStore, uma popular loja de aplicativos usada na Rússia.
Funcionamento do FireScam
Pesquisadores da Cyfirma explicaram em 30 de dezembro que o FireScam tem como objetivo exfiltrar dados sensíveis de dispositivos Android, como notificações, mensagens e dados de outros aplicativos, enviando essas informações para um endpoint do Firebase Realtime Database.
Além disso, o malware monitora diversas atividades do dispositivo, como mudanças no estado da tela, transações de e-commerce, atividades na área de transferência e o engajamento do usuário, reunindo informações de maneira discreta.
“Ao aproveitar a ampla adoção de aplicativos populares, como o Telegram, e serviços legítimos, como o Firebase, o FireScam exemplifica as táticas avançadas utilizadas por malwares modernos para evitar detecção, roubar dados e manter controle persistente sobre dispositivos comprometidos”, afirmaram os pesquisadores.
Sofisticação e Riscos
De acordo com T. Frank Downs, diretor sênior da BlueVoyant, o FireScam se destaca por sua persistência e capacidades amplas de monitoramento. Ele é capaz de se definir como o aplicativo principal para atualizações, impedindo modificações de outros instaladores, garantindo sua permanência no dispositivo. Além disso, pode interceptar, ocultar e manipular dados USSD (dados suplementares de serviços não estruturados), que frequentemente envolvem informações sensíveis, como códigos de autenticação.
Downs também destacou que, embora qualquer usuário Android que não tome precauções esteja vulnerável, os principais alvos aparentam ser usuários russos, devido à distribuição por um site falso que imita a RuStore.
O Crescimento da Sofisticação
Para Eric Schwake, diretor de estratégia de cibersegurança da Salt Security, a campanha do FireScam reflete o aumento da sofisticação das ameaças móveis. Schwake ressaltou que o uso de sites de phishing para distribuição de malware não é novidade, mas a combinação de técnicas, como se passar por um aplicativo legítimo (Telegram Premium) e utilizar uma loja popular como a RuStore, mostra a evolução dos métodos de ataque.
Ele também destacou a importância de proteger APIs (frequentemente usadas como base para aplicativos móveis), pois dispositivos comprometidos podem ser utilizados para acessar dados sensíveis e sistemas através dessas interfaces.
Recomendação de Proteção
Stephen Kowski, Field CTO da SlashNext, afirmou que a sofisticação do FireScam está em sua manipulação inteligente de permissões e no uso do Firebase Cloud Messaging para comando e controle. Ele recomenda:
- Monitoramento contínuo de aplicativos móveis.
- Verificação em tempo real de permissões suspeitas e comportamentos não autorizados.
- Implementação de soluções avançadas de segurança que detectem além de simples assinaturas.
Matt Bromiley, engenheiro líder de soluções na LimaCharlie, destacou que campanhas como essa aproveitam a popularidade de aplicativos de mensagens para atrair vítimas. Aplicativos prometendo recursos “Premium” gratuitamente são especialmente atrativos, levando a um grande número de downloads. Bromiley também mencionou que muitos usuários não leem ou inspecionam as permissões solicitadas por aplicativos, o que facilita o sucesso dessas campanhas.
“A chave para proteger os usuários contra ameaças como o FireScam está em educar as pessoas sobre os riscos e em adotar soluções de segurança que monitorem e previnam comportamentos maliciosos antes que dados sensíveis sejam comprometidos.”
Conclusão
O FireScam exemplifica o aumento das ameaças contra dispositivos Android, aproveitando táticas avançadas para roubo de dados e persistência. A conscientização dos usuários e a implementação de medidas de segurança robustas são essenciais para mitigar o impacto desse tipo de ameaça crescente.