研究人员说,一个假冒的 Telegram Premium 应用程序提供了信息窃取恶意软件,这是对手利用日常应用程序威胁上升的一个典型例子。
一种名为 "FireScam "的新型高级安卓间谍软件威胁正在利用伪造的Telegram Premium应用程序向受害者的手机投放信息窃取程序,该程序能够跟踪、监控和收集受害者的敏感数据。 Cyfirma公司的研究人员在一份新的FireScam分析报告中称,该活动是威胁行为者成功将恶意软件伪装成合法应用程序和服务的大趋势的一部分。 报告解释说:"通过利用流行应用程序和合法服务(如Firebase)的广泛使用,FireScam体现了现代恶意软件为逃避检测、实施数据窃取和保持对受损设备的持久控制所使用的先进策略。 "报告解释说:"FireScam利用信息应用程序和其他广泛使用的应用程序的流行性,对全球个人和组织构成了重大威胁。
报告称,感染程序始于一个托管在 GitHbub[dot]io 域名上的钓鱼网站,该网站伪装成 RuStore 应用程序商店的样子。 该网站提供恶意版本的 Telegram Premium,然后从目标安卓设备上窃取数据,包括通知、消息等,并将其发送到 Firebase 实时数据库端点。
报告补充说,FireScam一旦安装,就会利用定期检查和分析、命令控制通信(C2)和数据存储来保持持久性,并根据需要发送更多恶意软件。 Salt Security公司网络安全战略总监埃里克-施瓦克(Eric Schwake)在一份声明中说:"FireScam恶意软件活动揭示了移动威胁领域一个令人担忧的发展态势:针对安卓设备的恶意软件正变得越来越复杂。 "尽管利用钓鱼网站发布恶意软件并不是什么新战术,但FireScam的具体方法--如伪装成Telegram Premium应用程序和利用RuStore应用程序商店--说明了攻击者不断发展的误导和危害毫无戒心的用户的技术。
阻止 FireScam 等间谍软件的解决方案 SlashNext Email Security+ 的现场首席技术官 Stephen Kowski 在一份声明中指出,随着这些威胁变得越来越复杂,网络防御者必须关注异常的应用程序活动。"实时移动应用程序扫描和持续监控是至关重要的保障措施,因为这些攻击往往利用用户信任和合法的分发渠道,绕过传统的安全措施,"Kowski 写道。 "防范此类威胁的关键是实施安全解决方案,在敏感数据被泄露之前检测出可疑的权限请求和未经授权的应用程序行为。"
Schwake 补充说,保护应用程序编程接口(API)也有助于保护用户免受日益令人信服的网络钓鱼引诱。"实时移动应用程序扫描和持续监控是至关重要的保障措施,因为这些攻击往往利用用户信任和合法分发渠道,绕过传统的安全措施,"Kowski 写道。 "防范此类威胁的关键在于实施安全解决方案,在敏感数据被泄露之前检测出可疑的权限请求和未经授权的应用程序行为"。
信息来源 :https://www.darkreading.com/cyberattacks-data-breaches/firescam-android-spyware-campaign-significant-threat-worldwide