El Malware FireScam Explota la App Premium de Telegram para Robar Datos de Usuario

Una nueva cepa de malware para Android, llamada FireScam, está atacando a los usuarios haciéndose pasar por una aplicación premium de Telegram, como informaron por primera vez los expertos en ciberseguridad de CYFIRMA.

A través de un sitio web de phishing diseñado para imitar a RuStore, una popular tienda de aplicaciones en Rusia, el malware utiliza técnicas sofisticadas para infiltrarse en los dispositivos, robar datos sensibles y evadir la detección.

The Hacker News informa que todavía no está claro quiénes son los operadores, cómo se dirige a los usuarios a estos enlaces, o si están involucradas técnicas de phishing por SMS o de malvertising.

Los investigadores señalan que FireScam se distribuye a través de un sitio de phishing alojado en GitHub.io que se hace pasar por RuStore, engañando a los usuarios para que descarguen un APK malicioso. La aplicación falsa promete características de Telegram Premium, pero en lugar de eso despliega un proceso de infección de varias etapas.

Comienza con un APK de goteo que descarga e instala el malware FireScam, disfrazándolo como una aplicación legítima. Una vez instalado, FireScam lleva a cabo una vigilancia extensa en el dispositivo infectado.

Captura datos sensibles como notificaciones, mensajes y actividad del portapapeles. El malware incluso monitorea las interacciones del dispositivo, incluyendo cambios en el estado de la pantalla y transacciones de comercio electrónico, proporcionando a los atacantes valiosas percepciones sobre el comportamiento del usuario.

FireScam se basa en Firebase Realtime Database como parte de su sistema de comando y control, que es esencial para gestionar sus actividades maliciosas. Esta base de datos actúa como un espacio de almacenamiento para la información que el malware roba de los dispositivos infectados.

Una vez que los datos se suben, los atacantes los examinan para identificar piezas valiosas, como detalles personales sensibles o información financiera. Cualquier dato considerado innecesario se elimina para evitar levantar sospechas.

En el caso de FireScam, el uso de Firebase, un servicio legítimo y ampliamente utilizado, ayuda al malware a integrarse, dificultando que las herramientas de seguridad detecten y bloqueen sus actividades. Firebase también se emplea para entregar cargas maliciosas adicionales, permitiendo a los atacantes mantener un control persistente sobre los dispositivos comprometidos.

El malware emplea la ofuscación para ocultar su intención y evadir la detección de las herramientas de seguridad. También realiza controles de ambiente para identificar si se está ejecutando en un entorno de análisis o virtualizado, complicando aún más los esfuerzos para rastrear sus actividades.

Al aprovechar la popularidad de aplicaciones ampliamente utilizadas como Telegram y servicios legítimos como Firebase, FireScam destaca las tácticas avanzadas empleadas por los actores modernos de amenazas. La capacidad del malware para robar información sensible y mantenerse en sigilo representa un riesgo significativo tanto para los usuarios individuales como para las organizaciones.

Information Security Buzz (ISB) informa que Eric Schwake, Director de Estrategia de Ciberseguridad en Salt Security, destaca el creciente sofisticación del malware para Android, ejemplificado por FireScam.

“Aunque el uso de sitios web de phishing para la distribución de malware no es una táctica nueva, los métodos específicos de FireScam, como hacerse pasar por la aplicación Telegram Premium y utilizar la tienda de aplicaciones RuStore, ilustran las técnicas en constante evolución de los atacantes para engañar y comprometer a los usuarios desprevenidos”, dijo Schwake según Dark Reading.

ISB informa que Schwake enfatiza la necesidad de una seguridad de API robusta, ya que los dispositivos comprometidos pueden acceder a datos sensibles a través de las APIs de las aplicaciones móviles. Una autenticación sólida, encriptación y monitoreo continuo son esenciales para mitigar estos riesgos.

Para contrarrestar FireScam, los investigadores de CYFIRMA sugieren emplear inteligencia de amenazas, seguridad robusta en los puntos finales y monitoreo basado en comportamiento. También sugieren el uso de cortafuegos para bloquear dominios maliciosos y la creación de listas blancas de aplicaciones para prevenir la ejecución de archivos no autorizados.