"Firescam": Infostealer maskiert sich als Telegram-Premium-App

Ein Überblick über die Betrugsmethoden


In einer aktuellen Kampagne versuchen Kriminelle, ahnungslose Nutzer in die Falle zu locken. Sie bieten eine gefälschte Telegram-Premium-App an die anscheinend auf Phishing-Seiten heruntergeladen werden kann. Dieser Betrug wird von IT-Forschern von Cyfirma eingehend analysiert.



Die Tarnung der Malware


Die Malware mit dem Namen „Firescam“ wird auf einer Phishing-Seite präsentiert, die welche Optik von RuStore imitiert – einem App-Store aus dem russischen VK-Kosmos. Anstatt nützlicher Premium-Funktionen gibt es jedoch einen massiven Datenabfluss. Die Phishing-Seite ist auf der github.io-Domain gehostet.



Installation über Umwege


Gemäß der Analyse bietet die Phishing-Seite einen Installer mit dem Namen „GetAppsRu.apk“ an. Die Dateigröße beträgt circa 5 MByte. Bei der Installation wird ein Paket namens „ru.store.installer“ heruntergeladen. Ein Programm-Icon mit der Bezeichnung „GetAppsRu“ wird angelegt. Tippt der Nutzer darauf; so startet der sogenannte Dropper.



Der schleichende Datenabfluss


Der Dropper verspricht die Installation von Telegram Premium über die Schaltfläche „Install“. Nach der Sicherheitsanfrage erfolgt die Installation der Firescam-Malware. Hierfür wird das Installationspaket „Telegram Premium.apk“ mit etwa 3 MByte Größe ausgeführt.



Die Malware kontaktiert daraufhin einen Command-and-Control-Endpunkt auf Firebase. Dort hört sie auf Firebase Cloud Messaging (FCM)-Benachrichtigungen. Abgegriffene Daten sendet Firescam ähnlich wie dorthin, einschließlich der Gerätedaten des betroffenen Android-Smartphones.



Umfassende Überwachung


Die Überwachung auf den infizierten Geräten ist bemerkenswert. Die Malware hält unter anderem die Messages-App im Blick und leitet Inhalte von Textnachrichten weiter. Auch das Ein- & Ausschalten des Handy-Bildschirms wird überwacht. Bestimmte Benachrichtigungen wie Konversationen oder Alarmierungen sendet Firescam an den Kontrollserver. Nachrichten aus Telegram, WhatsApp, Viber und VK zählen ebenfalls zu den Zielen des Infostealers.



Die Malware hat ebenfalls Zugriff auf die Zwischenablage und kann E-Commerce-Transaktionen beobachten. Zusätzlich kann Firescam weitere Schadfunktionen herunterladen.



Täuschung durch legitime Funktionen


Um nicht sofort aufzufallen, integriert Firescam auch erwartete Funktionen. Ein Dialog behauptet, Telegram-Premium-Funktionen seien jetzt verfügbar. Danach fragt die Malware nach zusätzlichen Berechtigungen. Schließlich öffnet sie die echte Telegram-Webseite mit einem WebView und bietet den Login an.



Ob die Opfer nun echte oder falsche Daten eingeben – an dieser Stelle beginnt die Informationsübertragung. Dabei werden beispielsweise Telegram-Konversationsdaten an die Drahtzieher der Malware gesendet.



Hinweise auf Infektionen


Am Ende der Analyse listen die Forscher von Cyfirma Indikatoren auf anhand derer Nutzer überprüfen können ob die Malware auf ihren Geräten aktiv ist.



Gefahren im Play Store


Nicht nur auf externen Seiten tummeln sich gefährliche gefälschte Apps. IT-Sicherheitsforscher von Zscaler berichteten, dass im vergangenen Jahr über 200 Malware-infizierte Apps im Google Play Store entdeckt wurden. Diese Apps hatten zusammen knapp acht Millionen Installationen.






Kommentare


Anzeige