Появилась новая вредоносная программа для Android под названием FireScam, которая распространяется как премиум-версия Telegram через фишинговые сайты на GitHub, подражающие российскому магазину приложений RuStore.
Исследователи из компании Cyfirma обнаружили, что FireScam сначала загружает модуль-дроппер, который скрывает свои действия, получая разрешения для доступа к установленным приложениям и памяти устройства.
Затем программа устанавливает основное вредоносное приложение, которое запрашивает разрешения на отслеживание уведомлений, SMS и телефонных звонков.
При запуске оно показывает поддельный экран входа в Telegram, чтобы украсть учетные данные пользователей. FireScam отправляет украденные данные в реальном времени на сервер Firebase и может выполнять команды, включая загрузку дополнительных вредоносных программ и отслеживание активности на экране.
Вредоносная программа также фиксирует изменения в активности и пытается собрать финансовую информацию пользователей, перехватывая данные, которые они вводят.
Cyfirma предупреждает, что это ПО представляет собой серьезную угрозу и советует пользователям быть осторожными с файлами и ссылками из ненадежных источников.