In einer aktuellen Malware-Kampagne versuchen Kriminelle, arglose Opfer auf Phishing-Seiten zur Installation einer gefälschten Telegram-Premium-App zu verleiten. Allerdings landet auf den Android-Smartphones der Infostealer "Firescam".
Anzeige
In einer detaillierten Analyse beschreiben die IT-Forscher von Cyfirma die Malware. "Firescam" wird als gefälschte "Telegram Premium App" auf einer auf der github.io-Domain gehosteten Phishing-Seite angeboten, die die Optik von RuStore imitiert – einem App-Store aus dem russischen VK-Kosmos. Anstatt von Premium-Funktionen in Telegram gibt es jedoch einen umfangreichen Datenabfluss.
Laut der Analyse liefert die Phishing-Seite zunächst einen Installer mit dem Dateinamen "GetAppsRu.apk" und einer Dateigröße von rund 5 MByte aus. Der installiert ein Paket mit dem Namen "ru.store.installer". Ein Programmsymbol mit dem Namen "GetAppsRu’" wird außerdem angelegt. Durch Antippen startet der Dropper, der anbietet, Telegram Premium mit dem Antippen einer Schaltfläche "Install" zu installieren. Nach der Sicherheitsfrage, ob Nutzer diese als "Telegram Premium" angezeigte App installieren wollen, wird die Firescam-Malware installiert. Ein Installationspaket "Telegram Premium.apk" mit etwa 3 MByte Größe wird dafür ausgeführt.
Firescam kontaktiert einen Command-and-Control-Endpunkt auf Firebase und hört dort auf Firebase Cloud Messaging (FCM)-Benachrichtigungen. Außerdem schickt die Malware abgegriffene Daten dorthin. Unter anderem initial nach der Installation die Gerätedaten des infizierten Android-Smartphones. Die Malware überwacht dann etwa die Messages-App und leitet die Inhalte von Textnachrichten weiter, ebenso das Aktivieren und Abschalten des Handy-Bildschirms. Bestimmte Benachrichtigungen, etwa als Konversation oder Alarmierung gekennzeichnete, schickt Firescam an den Kontrollserver; insbesondere Nachrichten aus den Apps Telegram, WhatsApp, Viber und VK stehen auf der Liste des Infostealers. Die Überwachung auf infizierten Geräten ist äußerst umfangreich, auch die Zwischenablage steht unter Beobachtung, genauso wie E-Commerce-Transaktionen. Die Malware kann weitere Schadfunktionen nachladen.
Um nicht sofort aufzufallen, liefert Firescam jedoch auch erwartete Funktionen mit: Beim Start behauptet ein Dialog, dass nun Telegram-Premium-Funktionen zugreifbar seien, um dann nach weiteren Berechtigungen zu fragen und schließlich mittels WebView auf die echte Telegram-Webseite zuzugreifen und dort den Log-in anzubieten. Unabhängig davon, ob Opfer hier echte oder falsche Daten eingeben, startet an der Stelle die Informationsübertragung und sendet dann etwa die Telegram-Konversationsdaten and die Drahtzieher hinter der Malware.
Am Ende der Analyse listen die IT-Forscher von Cyfirma noch Hinweise auf Infektionen (Indicators Of Compromise, IOCs) auf, anhand derer Interessierte schauen können, ob bei ihnen die Malware installiert und aktiv ist.
Nicht nur auf externen Seiten lauern gefährliche gefälschte Apps. Ende vergangenen Jahres hatten etwa die IT-Sicherheitsforscher von Zscaler berichtet, in den 12 Monaten zuvor mehr als 200 Malware-infizierte Apps in Googles Play Store entdeckt zu haben, die zusammen auf knapp acht Millionen Installationen kamen.
(
Kommentare