تستغل برامج البرمجيات الخبيثة FireScam تطبيق تيليغرام المميز لسرقة بيانات المستخدم

سلالة جديدة من البرمجيات الخبيثة لنظام Android، تدعى FireScam، تستهدف المستخدمين من خلال التظاهر بأنها تطبيق Telegram Premium، كما ذكرت لأول مرة من قبل خبراء الأمن السيبراني في CYFIRMA.

من خلال موقع التصيد الإلكتروني المصمم لتقليد RuStore، وهو متجر تطبيقات شهير في روسيا، يستخدم البرمجة الخبيثة تقنيات متطورة لاختراق الأجهزة، وسرقة البيانات الحساسة، وتجنب الكشف.

تقرير من موقع هاكر نيوز يذكر أنه ما زال غير واضح من هم المشغلين، أو كيف يتم توجيه المستخدمين إلى هذه الروابط، أو ما إذا كانت تقنيات الصيد الاحتيالي عبر الرسائل النصية أو الإعلانات الضارة متورطة.

يُلاحظ الباحثون أن فيروس FireScam يتم توزيعه من خلال موقع احتيال مستضاف على GitHub.io ينتحل شخصية RuStore، في الوقت الذي يخدع المستخدمين لتنزيل APK ضار. التطبيق الوهمي يعد بميزات تليجرام بريميوم، ولكنه بدلاً من ذلك يطلق عملية إصابة متعددة المراحل.

يبدأ الأمر بملف APK من نوع القاطرة الذي يقوم بتنزيل وتثبيت برنامج الفيروس الخبيث FireScam، متنكرًا على أنه تطبيق شرعي. بمجرد تثبيته، يقوم FireScam بإجراء مراقبة شاملة للجهاز المصاب.

يُلتقط البيانات الحساسة مثل الإشعارات، والرسائل، ونشاط الحافظة. يراقب البرنامج الخبيث حتى تفاعلات الجهاز، بما في ذلك تغييرات حالة الشاشة والمعاملات التجارية الإلكترونية، مما يوفر للمهاجمين رؤى قيمة حول سلوك المستخدم.

تعتمد FireScam على قاعدة بيانات Firebase Realtime كجزء من نظامها للقيادة والتحكم، الأمر الذي يُعد أساسياً لإدارة أنشطتها الخبيثة. تعمل هذه القاعدة كمساحة تخزين للمعلومات التي يسرقها البرنامج الخبيث من الأجهزة المصابة.

بمجرد رفع البيانات، يقوم المهاجمون بتنقيبها لتحديد القطع القيمة، مثل التفاصيل الشخصية الحساسة أو المعلومات المالية. أي بيانات يُعتبر غير ضرورية يتم حذفها لتجنب إثارة الشكوك.

في حالة FireScam، يساعد استخدام Firebase – وهو خدمة شرعية ومستخدمة على نطاق واسع – البرمجيات الخبيثة على الاندماج، مما يجعل من الأصعب لأدوات الأمان اكتشاف ومنع أنشطتها. كما يتم استخدام Firebase لتقديم حمولات ضارة إضافية، مما يتيح للمهاجمين الحفاظ على السيطرة المستمرة على الأجهزة المخترقة.

تستخدم البرمجيات الخبيثة التضليل لإخفاء نواياها وتجنب الكشف عنها من قبل أدوات الأمان. كما أنها تقوم بإجراء فحوصات للبيئة لتحديد ما إذا كانت تعمل في بيئة تحليلية أو افتراضية، مما يعقد المزيد من الجهود لتتبع أنشطتها.

بالاستفادة من شعبية التطبيقات المستخدمة على نطاق واسع مثل تيليجرام والخدمات المشروعة مثل Firebase، يبرز FireScam التكتيكات المتقدمة التي يستخدمها الجهات الفاعلة المهددة الحديثة. يشكل قدرة البرامج الضارة على سرقة المعلومات الحساسة والحفاظ على التخفي من خطر كبير على المستخدمين الفرديين والمنظمات.

Information Security Buzz (ISB) تقارير تشير إلى أن إريك شواك، مدير استراتيجية الأمن السيبراني في Salt Security، يسلط الضوء على تطور البرامج الضارة على Android، كما هو متجسد في FireScam.

“بالرغم من أن استخدام مواقع الانترنت المزورة لتوزيع البرامج الخبيثة ليس تكتيكًا جديدًا، إلا أن الأساليب الخاصة بـ FireScam – مثل التنكر كتطبيق Telegram Premium واستخدام متجر تطبيقات RuStore – توضح تقنيات المهاجمين المتطورة لخداع المستخدمين والإضرار بهم غير المتوقعين”، حسبما ذكرت شفاكي وفقًا لـDark Reading.

تشير تقارير ISB إلى أن شفاكي تؤكد على الحاجة إلى أمن واجهة برمجة التطبيقات (API) القوي، حيث يمكن للأجهزة المخترقة الوصول إلى البيانات الحساسة من خلال واجهات برمجة تطبيقات الهاتف المحمول. يعتبر التحقق القوي من الهوية، التشفير، والرصد المستمر أساسيين للتخفيف من هذه المخاطر.

لمواجهة FireScam، يقترح الباحثون في CYFIRMA استخدام استخبارات التهديد، والأمن القوي لنقاط النهاية، والرصد المستند إلى السلوك. كما يقترحون استخدام جدران الحماية لمنع النطاقات الخبيثة وإدراج التطبيقات في القائمة البيضاء لمنع تنفيذ البرامج غير المصرح بها.