FireScam Zararlı Yazılımı, Kullanıcı Verilerini Çalmak İçin Telegram Premium Uygulamasını Sömürüyor

Android malware’ının yeni bir türü olan FireScam, bir Telegram Premium uygulaması gibi davranarak kullanıcıları hedef alıyor. Bu durum ilk olarak CYFIRMA adlı siber güvenlik uzmanları tarafından rapor edildi.

Rusya’daki popüler bir uygulama mağazası olan RuStore’u taklit etmek için tasarlanmış bir phishing websitesi aracılığıyla, bu zararlı yazılım, cihazlara sızmak, hassas verileri çalmak ve tespit edilmekten kaçınmak için sofistike teknikler kullanır.

The Hacker News hala operatörlerin kim olduğunun, kullanıcıların bu linklere nasıl yönlendirildiğinin veya SMS phishing veya malvertising tekniklerinin dahil olup olmadığının belirsiz olduğunu bildiriyor.

Araştırmacılar, FireScam’ın RuStore’u taklit eden GitHub.io tarafından barındırılan bir phishing sitesi aracılığıyla dağıtıldığını, kullanıcıları kötü amaçlı bir APK indirmeye kandırdığını belirtiyor. Sahte uygulama, Telegram Premium özellikleri vadederken aslında çok aşamalı bir enfeksiyon süreci başlatıyor.

Her şey, FireScam zararlı yazılımını indirip meşru bir uygulama olarak gizleyen bir damla APK ile başlar. Kurulduktan sonra, FireScam enfekte olmuş cihaz üzerinde geniş çaplı bir gözetim yapar.

Bildirimler, mesajlar ve pano aktiviteleri gibi hassas verileri yakalar. Zararlı yazılım, ekran durumu değişiklikleri ve e-ticaret işlemleri dahil olmak üzere cihaz etkileşimlerini bile izler, saldırganlara kullanıcı davranışları hakkında değerli bilgiler sağlar.

FireScam, kötü amaçlı faaliyetlerini yönetmek için hayati öneme sahip bir komuta ve kontrol sistemi olan Firebase Realtime Database’ye dayanır. Bu veritabanı, malware’ın enfekte cihazlardan çaldığı bilgiler için bir depolama alanı olarak işlev görür.

Veriler yüklendikten sonra, saldırganlar, hassas kişisel detaylar veya finansal bilgiler gibi değerli parçaları belirlemek için onları inceler. Şüphe uyandırmamak için gereksiz görülen herhangi bir veri silinir.

FireScam durumunda, Firebase’ı kullanmak – geçerli ve yaygın olarak kullanılan bir hizmet – kötü amaçlı yazılımın sıyrılıp karışmasına yardımcı oluyor, bu da güvenlik araçlarının onun faaliyetlerini tespit etmesini ve engellemesini zorlaştırıyor. Firebase, saldırganların istila edilmiş cihazlar üzerinde sürekli kontrol sağlamalarına izin vermek için ayrıca ek kötü amaçlı yüklerin teslimatında da kullanılıyor.

Kötü amaçlı yazılım, niyetini gizlemek ve güvenlik araçları tarafından tespit edilmesini önlemek için gizleme kullanır. Ayrıca, analiz veya sanallaştırılmış bir ortamda çalışıp çalışmadığını belirlemek için ortam kontrolleri de gerçekleştirir, bu da faaliyetlerini izleme çabalarını daha da karmaşık hale getirir.

Telegram gibi yaygın kullanılan uygulamaların ve Firebase gibi meşru hizmetlerin popülerliğinden yararlanarak, FireScam modern tehdit aktörlerinin kullandığı ileri taktikleri öne çıkarır. Bu zararlı yazılımın hassas bilgileri çalma ve gizli kalma yeteneği, hem bireysel kullanıcılar hem de kuruluşlar için önemli bir risk oluşturur.

Information Security Buzz (ISB) Salt Security’deki Siber Güvenlik Stratejisi Direktörü Eric Schwake’nin, FireScam’ın örneklediği Android zararlı yazılımlarının artan karmaşıklığını vurguladığını bildiriyor.

“Phishing sitelerini kötü amaçlı yazılım dağıtımı için kullanma taktiği yeni değil, ancak FireScam’ın belirli yöntemleri – örneğin, Telegram Premium uygulaması gibi gizlenme ve RuStore uygulama mağazasını kullanma – saldırganların, şüphelenmeden kullanıcıları yanıltma ve tehlikeye atma tekniklerinin gelişmekte olduğunu gösteriyor,” dedi Schwake, Dark Reading‘e göre.

ISB raporları, Schwake’ın, tehlikeye giren cihazların mobil uygulama API’leri aracılığıyla hassas verilere erişebileceğini, bu yüzden güçlü bir API güvenliğinin gerekli olduğunu vurguladığını belirtiyor. Güçlü kimlik doğrulama, şifreleme ve sürekli izleme, bu riskleri hafifletmek için hayati önem taşır.

FireScam’ı engellemek için, CYFIRMA’daki araştırmacılar tehdit istihbaratı, sağlam uç nokta güvenliği ve davranış tabanlı izleme kullanmayı öneriyor. Ayrıca kötü niyetli alanları engellemek için güvenlik duvarları kullanmayı ve yetkisiz yürütülebilir dosyaları önlemek için uygulama beyaz listesi kullanmayı öneriyorlar.