На новогодних каникулах россияне стали жертвой нового вредоносного вируса, крадущего данные и пароли с Android-устройств под видом Telegram Premium. Вредоносное ПО FireScam пострадавшие скачали со страницы-подделки российского маркетплейса мобильных приложений RuStore. Специалисты по кибербезопасности из CyFirma, обнаружившие угрозу, отмечают: мошенники очень хорошо замаскировали свой вирус под настоящий Telegram Premium. Подделка российского аналога Google Play тоже оказалась очень высокого качества.
FireScam состоит из двух частей, поэтому, даже если пользователь не активирует подозрительное приложение, вред его устройству всё равно будет нанесён. При изначальном скачивании псевдоTelegram Premium на устройство загружается дроппер GetAppsRu.apk, замаскированный с помощью DexGuard. Он запрашивает критические разрешения для доступа к системе. Затем устанавливается основной вредоносный модуль Telegram Premium.apk, который получает доступ к уведомлениям, буферу обмена и SMS.
Если пользователь активирует приложение-подделку, то после активации FireScam продемонстрирует фальшивый экран входа в Telegram для кражи учётных данных. Вирус мгновенно передаст киберпреступникам номер жертвы и пароль для входа в Telegram, а также уникальные идентификаторы устройства.
Примечательно, что FireScam обладает широкими возможностями слежения за жертвами. Эта программа мониторит активность экрана, работающие на устройстве приложения, финансовые операции. Также она собирает все вводимые на устройство данные и содержимое буфера обмена, и крадёт данные из менеджеров паролей.
В CyFirma настоятельно рекомендуют пользователям загружать приложения только из официальных источников и проявлять бдительность при переходе по внешним ссылкам.
Ранее в России были обнаружены поддельные сайты «Госуслуг». Мошенники используют невнимательность россиян и даже предлагают жертвам «пожаловаться на злоумышленников в Центробанк».
Читать материалы по теме:
Устройство работает медленно? Названы нетипичные признаки вируса на телефоне или компьютере
В России появились киберхранители — кто это и чем занимаются
«Различные способы проникновения»: в даркнете есть база данных хакеров обо всех россиянах