Die Bedrohung durch Schadsoftware auf mobilen Geräten nimmt rasant zu. Ein Beispiel für diese Gefahr ist die Malware FireScam. Sie tarnt sich als Telegram Premium App und zielt auf Android-Geräte ab. Doch warum ist FireScam so fürchterlich gefährlich?
Gefährliche Täuschung – Die Funktionsweise von FireScam
FireScam verbreitet sich über eine täuschend echte Phishing-Website. Diese Website ahmt den russischen App-Store RuStore nach. Nutzer finden dort eine gefälschte Telegram Premium APK. Diese APK enthält einen sogenannten Dropper. Der Dropper trägt den Namen „ru.store.installer“ und weist darauf hin, dass die Malware gezielt Android-Geräte angreift. Besonders betroffen sind Geräte mit den Android-Versionen 8 bis 15.
Nach der Installation gibt sich die Schadsoftware als reale App aus. So gewinnt sie das Vertrauen der Nutzer. Im Hintergrund sammelt sie jedoch sensible Informationen wie Login- und Finanzdaten. Diese Daten werden über Firebase an einen externen Server übertragen. Dort kann man sie weiterverarbeiten oder missbrauchen.
Umfassende Berechtigungen – Eine Bedrohung für die Sicherheit
Die Schadsoftware FireScam fordert komplexe Berechtigungen an. Diese Berechtigungen ermöglichen es ihr – unbemerkt zu arbeiten. Dazu gehört der Zugriff auf Benachrichtigungen und die Verwaltung von Apps. Sie kann sogar Apps ohne Zustimmung des Nutzers aktualisieren oder löschen. Besonders kritisch ist das Recht ENFORCE_UPDATE_OWNERSHIP. Mit dieser Funktion kann FireScam Updates anderer Apps blockieren. So bleibt die Malware dauerhaft auf dem Gerät präsent.
Diese umfangreichen Berechtigungen erlauben es FireScam die Aktivitäten auf dem Gerät ebendies zu überwachen. Sie kann zum Beispiel Benachrichtigungen von Banking-Apps auslesen oder E-Commerce-Interaktionen verfolgen. Zudem kann sie USSD-Antworten abfangen.
Technische Tricks zur Tarnung – FireScam erschwert Entdeckung
FireScam nutzt eine Vielzahl an Verschleierungstechniken. Dazu zählen dynamische Empfänger und Sandbox-Erkennung. Zudem verschlüsselt die Malware ihre Daten. Sie verwendet Firebase Cloud Messaging-Dienste um Befehle zu empfangen. Diese Tricks erschweren es modernen Sicherheitslösungen die Malware rechtzeitig zu entdecken. Der Sicherheitsdienstleister Cyfirma berichtet aktuell darüber.
Eine besondere Gefahr geht von benutzerdefinierten Berechtigungen aus. Nur vom Angreifer signierte Apps dürfen auf bestimmte Funktionen zugreifen. So bildet sich ein geschlossener Kommunikationskanal zwischen FireScam und anderen kompromittierten Apps. Sicherheitsmechanismen können diesen Kanal kaum erkennen.
Schutzmaßnahmen – So kann man sich schützen
Die Kombination von Datendiebstahl und moderner Tarnung macht FireScam zu einer ernsten Bedrohung. Die Nutzung von Firebase als Kontrollzentrale zeigt ebenso wie Angreifer legitime Technologien missbrauchen. Besonders gefährdet sind Anwender – die zwischen gefälschten und echten Apps nicht unterscheiden können.
Obwohl offizielle App-Stores wie der Google Play Store eine gewisse Sicherheit bieten, sind sie nicht zu 100 % sicher. Anwender sollten Apps aus unbekannten Quellen meiden. Installationsdateien müssen genau geprüft werden.
Dennoch liegt die Hauptverantwortung ebenfalls bei den Plattformbetreibern und IT-Sicherheitsunternehmen. Sie müssen Bedrohungen wie FireScam frühzeitig erkennen. Zudem sollten sie wirksame Schutzmaßnahmen bereitstellen.
Kommentare