FireScam Malware IOCs

security IOC

Компания CYFIRMA провела анализ вредоносной программы FireScam, которая маскируется под приложение Telegram Premium для Android. Это сложное вредоносное ПО распространяется через фишинговый сайт, который подражает популярному магазину приложений RuStore. FireScam использует многоступенчатый процесс заражения и выполняет обширную слежку после установки. Оно использует тактики обхода обнаружения, кражи данных и контроля над устройствами, чтобы скрытно собирать ценную информацию.

FireScam Malware

Вредоносная программа FireScam имеет функции шпионского ПО и способна отслеживать действия на устройстве пользователя, такие как изменение состояния экрана, операции электронной коммерции и взаимодействие с пользователем. Она также перехватывает уведомления различных приложений для потенциальной кражи конфиденциальной информации. FireScam использует методы обфускации, чтобы скрыть свои намерения и избежать обнаружения. Он также выполняет проверку на аналитическую или виртуализированную среду.

FireScam использует Firebase для передачи команд, управления, хранения данных и доставки дополнительной вредоносной полезной нагрузки. Удаленные серверы через Firebase Realtime Database получают данные, перехваченные с устройства, и временно хранят их в базе данных. В базе данных можно найти потенциальные идентификаторы Telegram, связанные со злоумышленниками, а также URL-адреса других образцов вредоносного ПО, размещенных на фишинговом сайте.

FireScam представляет серьезную угрозу для частных лиц и организаций во всем мире. Его распространение через фишинговый сайт GitHub.io и маскировка под популярное приложение Telegram Premium позволяют вредоносной программе обмануть пользователей и проникнуть на их устройства. Для защиты от подобных угроз необходимо принимать надежные меры безопасности, включая установку антивирусного программного обеспечения и внимательное отношение к загружаемым приложениям и ссылкам.

Indicators of Compromise

Domains

  • s-usc1b-nss-2100.firebaseio.com

URLs

  • https://androidscamru-default-rtdb.firebaseio.com
  • https://rustore-apk.github.io/telegram_premium
  • https://s-usc1b-nss-2100.firebaseio.com/.ws?ns=androidscamru-default-rtdb&v=5&ls=*

MD5

  • 5d21c52e6ea7769be45f10e82b973b1e
  • cae5a13c0b06de52d8379f4c61aece9c

SHA256

  • 12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
  • b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий