كشف باحثون أمنيون عن برمجية خبيثة جديدة تُعرف باسم FireScam، والتي تُستخدم لاستهداف أجهزة أندرويد عبر مواقع تصيد احتيالية تدّعي توفير نسخة Telegram Premium.
كيف تنتشر FireScam؟
تنتشر البرمجية عبر مواقع مزيفة مستضافة على منصة GitHub، حيث تُحاكي هذه المواقع متجر التطبيقات الروسي RuStore، الذي أُطلق عام 2022 كبديل لمتجري Google Play وApp Store بعد العقوبات الغربية على روسيا.
تبدأ الهجمة عندما يقوم المستخدم بتحميل ملف تطبيق باسم GetAppsRu.apk، والذي يعمل كـ”حاوية برمجيات خبيثة” (Dropper).
خطوات الهجوم:
- تنزيل ملف الحاوية (Dropper):
- ملف GetAppsRu.apk يستخدم أداة DexGuard لإخفاء الشيفرة ومنع اكتشافه من برامج الحماية.
- يطلب أذونات متعددة مثل الوصول للتخزين وتثبيت تطبيقات إضافية.
- تثبيت الحمولة الرئيسية:
- بعد تنزيل الحاوية، يتم استخراج وتثبيت التطبيق المزيف باسم Telegram Premium.apk.
- التطبيق المزيف يطلب أذونات واسعة مثل مراقبة الإشعارات، الوصول إلى الرسائل النصية، وخدمات الهاتف.
قدرات FireScam:
- سرقة بيانات تسجيل الدخول:
- يُظهر واجهة مزيفة لتسجيل الدخول إلى تطبيق Telegram، مما يُمكّن المهاجمين من سرقة بيانات الاعتماد الخاصة بالمستخدم.
- اتصال مباشر مع Firebase:
- يُنشئ اتصالًا مع قاعدة بيانات Firebase Realtime، حيث يتم تخزين البيانات المسروقة مؤقتًا.
- يتم نقل البيانات الحساسة فورًا إلى المخترقين وحذفها من الخادم بعد ذلك.
- تواصل عبر WebSocket:
- يُتيح الاتصال المباشر تنفيذ أوامر فورية مثل تحميل بيانات إضافية، تنزيل برامج خبيثة أخرى، أو ضبط إعدادات المراقبة.
- مراقبة النشاط على الشاشة:
- يُتابع تغييرات الشاشة ونشاط التطبيقات المفتوحة.
- يسجل العمليات التي تستغرق أكثر من ثانية واحدة لمتابعة نشاط المستخدم.
- استهداف المعاملات المالية:
- يُراقب العمليات التي تُجرى على تطبيقات التجارة الإلكترونية لسرقة البيانات المصرفية والحساسة.
- يلتقط النصوص المدخلة، البيانات المنسوخة، والمعلومات المحفوظة في مدير كلمات المرور.
البيانات التي يتم سرقتها بواسطة FireScam:
- أسماء المستخدمين وكلمات المرور.
- الرسائل النصية وسجلات المكالمات.
- المحتوى المنسوخ إلى الحافظة.
- النشاط على التطبيقات والمعاملات المالية.
- بيانات الهاتف التعريفية ومعلومات الجهاز.
توصيات الحماية:
- تحميل التطبيقات من مصادر موثوقة:
- يُوصى بعدم تنزيل تطبيقات خارجية من مواقع غير رسمية أو مشبوهة.
- الاعتماد على متجري Google Play أو App Store فقط.
- التحقق من الأذونات:
- مراجعة الأذونات المطلوبة من التطبيقات قبل تثبيتها، وتجنب التطبيقات التي تطلب صلاحيات غير مبررة.
- تثبيت برامج الحماية:
- استخدام برامج مكافحة الفيروسات الموثوقة لفحص التطبيقات قبل تثبيتها.
- تحديث النظام والتطبيقات:
- التأكد من تحديث نظام التشغيل والتطبيقات بشكل دوري لإصلاح الثغرات الأمنية.
- الحذر من الروابط المشبوهة:
- تجنب فتح الروابط أو الملفات من مصادر غير معروفة أو غير موثوقة.
الخلاصة:
FireScam هي برمجية خبيثة متطورة تستهدف أجهزة أندرويد عبر تطبيق Telegram Premium المزيف، مستغلة تصاميم مواقع احتيالية مُحاكية لمتجر RuStore الروسي. لذلك، يُنصح جميع المستخدمين باتباع الإجراءات الأمنية المذكورة أعلاه لحماية بياناتهم وأجهزتهم من هذا التهديد المتزايد.
ابدأ المناقشة في forum.mjbtechtips.com