Прикрытый обман: в Сети появился вирус под видом приложения Telegram Premium

В Сети появилось вредоносное программное обеспечение FireScam, которое маскируется под приложение Telegram Premium, — об этом предупредили эксперты. Вирус направлен на кражу данных с устройств на базе Android и распространяется через страницу на GitHub, которая, в свою очередь, имитирует российский магазин RuStore. Подробности о новой угрозе и способах защиты от нее читайте в материале «Известий».

Что известно о новом вирусе FireScam

О том, что в Сети появилось вредоносное программное обеспечение (ПО) FireScam, которое маскируется под приложение Telegram Premium, сообщили специалисты компании Cyfirma, которая специализируется на информационной безопасности.

Для распространения нового вируса хакеры используют страницу на GitHub, которая, в свою очередь, имитирует российский магазин RuStore. Эта страница загружает на пользовательские устройства приложение GetAppsRu.apk, невидимое для средств защиты Android. После установки программа получает все необходимые разрешения, дающие ей широкие возможности.

Среди них — сканирование установленных приложений, доступ к хранилищу гаджета, а также разрешение на загрузку дополнительных пакетов. Следом программа устанавливает основной вирус — Telegram_Premium.apk: он, в свою очередь, запрашивает доступ к отслеживанию уведомлений, буферу обмена, содержимому SMS и другим данным. При первом запуске FireScam открывает страницу авторизации в Telegram.

Именно данные из мессенджера киберпреступники похищают первыми. Параллельно приложение устанавливает связь с базой данных Firebase Realtime Database, куда передается похищенная информация. Кроме того, FireScam поддерживает постоянное соединение с удаленным сервером, что позволяет злоумышленникам выполнять различные команды на устройстве жертвы.

Чем опасно заражение устройства вирусом FireScam

В схеме, о которой рассказали специалисты Cyfirma, используется мобильный троянец, он способен отправлять произвольные SMS и USSD-запросы по команде с сервера злоумышленников, пояснил в беседе с «Известиями» эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Калинин. Это говорит о том, что цель атакующих — кража средств жертвы.

— Также троянец способен показывать на зараженном смартфоне фишинговую страницу, которая может использоваться для кражи учетных данных от аккаунта в мессенджере, — отмечает эксперт. — В дальнейшем украденный аккаунт злоумышленники могут использовать в своих схемах.

Руководитель лаборатории исследований кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Вадим Матвиенко дополняет, что вирус FireScam также отслеживает действия устройства, в том числе изменения состояния экрана, трансакции электронной коммерции, активность буфера обмена и взаимодействие пользователя, что позволяет ему скрытно собирать ценную информацию. Причем, помимо передачи данных на сервер, это вредоносное ПО может получать дополнительные вредоносные данные с сервера злоумышленников, что способно привести к полному контролю над смартфоном.

По словам Дмитрия Калинина, первые версии схожего по функционалу зловреда специалисты по кибербезопасности обнаружили в конце 2023 года и назвали его Mamont. С тех пор его функционал менялся, как и сценарии его распространения. Ранние версии зловреда передавались под видом приложений для взрослых.

— Достаточно часто мошенники применяют схемы, в которых человеку предлагают бесплатно получить Telegram Premium якобы в качестве подарка от друзей, — дополняет руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин. — Если пользователь поверит, он перейдет на фишинговую страницу или скачает вредоносный софт, способный похитить конфиденциальную информацию.

Почему хакеры используют фейковую страницу RuStore

По мнению Вадима Матвиенко, схема с использованием вируса FireScam представляет серьезную опасность для пользователей. Дело в том, что для распространения вредоносного ПО хакеры используют поддельный магазин RuStore, который создан очень качественно и не вызывает подозрений, что повышает риски.

— Учитывая, что RuStore появился относительно недавно и не все пользователи знакомы с ним, обман может быть очень успешным, — подчеркивает собеседник «Известий».

В то же время начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко указывает на то, что в схеме распространения FireScam на месте фейка RuStore мог быть любой другой поддельный магазин приложений, поскольку злоумышленники регулярно используют их для доставки вредоносного ПО. Фейки RuStore среди таких подделок фигурируют постоянно.

Так, по словам Алексея Коробченко, в 2023 году несколько подделок приложения было обнаружено в Google Play, а в 2024-м — порядка десяти приложений, напоминающих RuStore по дизайну, но не по функциональности, появилось в Xiaomi Mi GetApps.

— В подавляющем большинстве фейки показывали рекламу и не содержали «боевой» нагрузки, но было зафиксировано и несколько действительно вредоносных приложений с различным программным обеспечением, в том числе с функциональностью FireScam, — рассказывает эксперт.

Как отмечает Вадим Матвиенко, RuStore — маркетплейс, который развивается при поддержке Министерства цифрового развития. Это довольно новый сервис, с которым многие россияне еще не сталкивались или сталкивались пару раз для установки банковских приложений. Поэтому фейковый RuStore не вызывает подозрений, особенно учитывая, что не все перепроверяют источники. Злоумышленники хорошо понимают новые привычки российских пользователей смартфонов и их проблемы и умело используют это в своих схемах.

Как защититься от вируса FireScam и фейков RuStore

Для того чтобы защититься от угроз, связанных с вирусом FireScam и фейками RuStore, эксперты, опрошенные «Известиями», советуют соблюдать ряд правил цифровой безопасности. В частности, ведущий специалист по анализу вредоносного кода компании F.A.C.C.T. Артем Грищенко рекомендует не переходить по сомнительным ссылкам, полученным от неизвестных людей.

— Скачивайте приложения только из официальных магазинов приложений, а также оценивайте их поведение после установки, — советует специалист отдела экспертизы PT Sandbox Positive Technologies Алексей Колесников. — Если приложение требует от вас дополнительных неожиданных действий, удалите его.

К примеру, если при загрузке магазина приложений предлагается сразу установить стороннее программное обеспечение даже с обещанием «бесплатного премиума», это должно вызвать подозрение. Важно обращать внимание на детали: к примеру, в случае с RuStore это может быть отличное от rustore.ru написание в адресной строке браузера или отличающийся от официального интерфейс сайта.

Такие ошибки и неточности укажут на то, что пользователи, скорее всего, имеют дело с фишинговым ресурсом. Кроме того, приложения из RuStore сегодня можно скачивать только через официальное мобильное приложение стора.

— Чтобы не стать жертвой мошенников, скачивайте RuStore только с официального сайта rustore.ru или пользуйтесь предустановленной на смартфон версией, — подчеркивают в пресс-службе RuStore. — Установка из других источников может быть небезопасной.

В целом, для того чтобы атака оказалась успешной, от пользователя требуется несколько раз взаимодействовать с подставным ресурсом и многократно соглашаться с запрашиваемыми приложением разрешениями. Поэтому наиболее эффективной мерой защиты будет бдительность самих пользователей, заключает технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков.