Een Android-informatiestelende malware met de naam BrandScam Er is ontdekt dat het zich voordoet als een premiumversie van de Telegram-berichtenapp om gegevens te stelen en permanente controle op afstand over gecompromitteerde apparaten te behouden.
“Vermomd als een nep-Telegram Premium-app, wordt deze verspreid via een door GitHub.io gehoste phishing-site die zich voordoet als RuStore – een populaire app store in de Russische Federatie,” zei Cyfirma, die het omschreef als een “verfijnde en veelzijdige bedreiging. “
“De malware maakt gebruik van een infectieproces dat uit meerdere fasen bestaat, beginnend met een dropper-APK, en voert uitgebreide bewakingsactiviteiten uit zodra het is geïnstalleerd.”
De phishing-site in kwestie, rustore-apk.github(.)io, bootst RuStore na, een app store gelanceerd door de Russische technologiegigant VK in het land, en is ontworpen om een dropper APK-bestand (“GetAppsRu.apk”) te leveren.
Eenmaal geïnstalleerd, fungeert de dropper als bezorgvoertuig voor de belangrijkste lading, die verantwoordelijk is voor het exfiltreren van gevoelige gegevens, waaronder meldingen, berichten en andere app-gegevens, naar een Firebase Realtime Database-eindpunt.
De dropper-app vraagt om verschillende machtigingen, waaronder de mogelijkheid om naar externe opslag te schrijven en willekeurige apps te installeren, bij te werken of te verwijderen op geïnfecteerde Android-apparaten met Android 8 en hoger.
“De ENFORCE_UPDATE_OWNERSHIP-toestemming beperkt app-updates tot de aangewezen eigenaar van de app. De initiële installateur van een app kan zichzelf tot ‘update-eigenaar’ verklaren en daarmee de updates van de app controleren, ‘merkte Cyfirma op.
“Dit mechanisme zorgt ervoor dat updatepogingen van andere installatieprogramma’s goedkeuring van de gebruiker vereisen voordat ze verder gaan. Door zichzelf aan te wijzen als de eigenaar van de update, kan een kwaadwillende app legitieme updates van andere bronnen voorkomen, waardoor de persistentie op het apparaat behouden blijft.”
FireScam maakt gebruik van verschillende verduisterings- en anti-analysetechnieken om detectie te omzeilen. Het houdt ook inkomende meldingen, wijzigingen in de schermstatus, e-commercetransacties, klembordinhoud en gebruikersactiviteit in de gaten om interessante informatie te verzamelen. Een andere opmerkelijke functie is de mogelijkheid om afbeeldingsgegevens van een opgegeven URL te downloaden en te verwerken.
Wanneer de frauduleuze Telegram Premium-app wordt gelanceerd, vraagt hij verder toestemming van gebruikers om toegang te krijgen tot contactlijsten, oproeplogboeken en sms-berichten, waarna via een WebView een inlogpagina voor de legitieme Telegram-website wordt weergegeven om de inloggegevens te stelen. Het gegevensverzamelingsproces wordt gestart, ongeacht of het slachtoffer inlogt of niet.
Ten slotte registreert het een service om Firebase Cloud Messaging (FCM)-meldingen te ontvangen, waardoor het externe opdrachten kan ontvangen en geheime toegang kan behouden – een teken van de brede monitoringmogelijkheden van de malware. De malware brengt tegelijkertijd ook een WebSocket-verbinding tot stand met zijn command-and-control (C2)-server voor data-exfiltratie en vervolgactiviteiten.
Cyfirma zei dat het phishing-domein ook een ander kwaadaardig artefact bevatte, genaamd CDEK, wat waarschijnlijk een verwijzing is naar een in Rusland gevestigde trackingservice voor pakketten en leveringen. Het cyberbeveiligingsbedrijf zei echter dat het op het moment van de analyse het artefact niet kon bemachtigen.
Het is momenteel niet duidelijk wie de operators zijn, hoe gebruikers naar deze links worden geleid en of er sprake is van sms-phishing of malvertisingtechnieken.
“Door legitieme platforms zoals de RuStore app store na te bootsen, misbruiken deze kwaadaardige websites het vertrouwen van gebruikers om individuen te misleiden zodat ze valse applicaties downloaden en installeren”, aldus Cyfirma.
“FireScam voert zijn kwaadaardige activiteiten uit, waaronder data-exfiltratie en surveillance, wat de effectiviteit van op phishing gebaseerde distributiemethoden bij het infecteren van apparaten en het omzeilen van detectie verder aantoont.”