FireScam, el peligroso malware que espía notificaciones, SMS y más en móviles Android
FireScam ha empezado a distribuirse entre los usuarios de Telegram Premium desde GitHub: el malware puede leer notificaciones, SMS y acceder a claves del banco. Los hackers han duplicado la pantalla de inicio de la aplicación de mensajería.
Los usuarios de Android han detectado un nuevo malware que se está distribuyendo haciéndose pasar por la versión Premium de Telegram que se descarga desde GitHub. Los ciberdelincuentes han duplicado la web para distribuir un virus con el que espiar notificaciones, SMS y conseguir las claves bancarias.
El malware conocido como FireScam se ha detectado principalmente en sitios web de phishing en GitHub que imitan a RuStore, plataforma rusa de aplicaciones para dispositivos móviles. La tienda de apps nació en mayo de 2022 como una alternativa a Google Play y App Store tras las sanciones occidentales.
GitHub y RuStore comparten aplicaciones a menudo. Las apps cumplen con las regulaciones rusas y cuentan con el apoyo del Ministerio de Desarrollo Digital del país, pero algunas vulneran los derechos de los usuarios establecidos por la Unión Europea.
La falsa aplicación de Telegram Premium disponible en GitHub envía a los usuarios al archivo GetAppsRu.apk disponible en la versión rusa. En el momento en el que descargas el instalador, los ciberdelincuentes pueden acceder a toda la información alojada en el dispositivo.
Telegram Premium roba las credenciales de los usuarios
FireScam puede evadir los antivirus y obtiene permisos en remoto para identificar aplicaciones instaladas en el dispositivo, obtener acceso al almacenamiento e instalar paquetes adicionales. Una vez que instales Telegram Premium desde esa APK, el malware solicita permisos para leer notificaciones, datos del portapapeles o SMS.
Los ciberdelincuentes han recreado la página de inicio de sesión de Telegram mediante una pantalla WebView. Los usuarios no solo aceptarán los permisos para que los hackers accedan a su información, también robarán las credenciales para esta aplicación de mensajería.
FireScam puede monitorear los cambios en la actividad de la pantalla, detectando si el dispositivo está encendido o apagado y registrando la aplicación que está activa en ese momento. El malware también puede guardar los datos bancarios de compras online realizadas en el móvil y acceder a los gestores de contraseñas.
El malware está conectado a una base de datos en tiempo real conocida como Firebase. Los ciberdelincuentes cargan los datos robados en tiempo real y registran el dispositivo infectado para realizar un seguimiento.
El equipo de investigadores en ciberseguridad de Cyfirma informa que los datos robados solo se almacenan de forma temporal en la base de datos. Si los hackers encuentran información de utilidad, la filtrarán a otras plataformas para llevar a cabo todo tipo de estafas.
Cyfirma no ha identificado a los ciberdelincuentes detrás de FireScam. El equipo de investigadores recomienda no abrir este archivo instalado desde GitHub, se trata de una "amenaza sofisticada y multifacética que emplea técnicas de evasión avanzadas", aseguran en un comunicado.