Новый Android-вирус крадёт данные, маскируясь под Telegram

Эксперты в области информационной безопасности из компании Cyfirma выявили новый вирус для Android, получивший название FireScam. Программа маскируется под фейковое приложение Telegram Premium и активно используется для кражи данных пользователей.

Предложение распространяется через поддельную страницу, имитирующую российский цифровой магазин RuStore, размещённую на GitHub. На устройства жертв загружается APK-дроппер GetAppsRu.apk, который обходит системы защиты Android и получает доступ к критически важным разрешениям, включая сканирование установленных приложений, хранилища и возможность скачивать дополнительные модули.

Telegram_Premium.apk также устанавливается дроппером и требует права на мониторинг уведомлений, доступ к SMS, буферу обмена и другим конфиденциальным данным. После запуска программа выводит интерфейс, копирующий экран авторизации Telegram. Введённые пользователем данные немедленно похищаются.

FireScam передаёт собранные данные в базу Firebase Realtime Database, где они временно хранятся перед дальнейшей фильтрацией и отправкой на другие серверы. Также пакет поддерживает постоянное соединение с удалённым сервером, позволяя операторам выполнять команды, усиливать слежку и загружать дополнительное вредоносное ПО. Программа фиксирует действия пользователя, включая изменения на экране устройства, длительные операции, копирование данных и платёжные транзакции.

Хотя операторы FireScam пока не установлены, специалисты Cyfirma назвали угрозу «многоуровневой и тщательно замаскированной». Они рекомендуют пользователям Android с осторожностью относиться к скачиванию приложений из непроверенных источников и избегать установки подозрительных файлов. Угрозы, подобные FireScam, подтверждают необходимость повышенной киберграмотности и использования надёжных антивирусных решений для защиты персональных данных.