Android 恶意软件 FireScam 深入分析

关键要点

• FireScam 是一种伪装成假 Telegram Premium 应用的 Android 信息窃取恶意软件。
• 它通过钓鱼网站传播，该网站伪装成俄罗斯流行的 RuStore 应用商店。
• 此恶意软件的主要目标是窃取敏感的 Android 数据，比如通知、消息和应用数据。
• FireScam 可以监控 Android 设备的活动，并具有持续存在的能力。
• 安全专家警告，任何不警惕的 Android 用户都有可能受到攻击，尤其是俄罗斯用户。

FireScam 恶意软件概述

一种名为 FireScam 的 Android 信息窃取恶意软件被发现，它伪装成一个假 Telegram Premium应用，并通过一个钓鱼网站进行传播，该网站假冒了俄罗斯流行的应用商店 RuStore 。研究人员在 12 月 30 日指出，FireScam恶意软件旨在窃取敏感的 Android 数据，包括通知、消息和其他应用数据，这些信息最终会被送往一个 Firebase 实时数据库端点。

FireScam 恶意软件可以监控 Android 设备的活动，例如屏幕状态变化、电子商务交易、剪贴板活动以及用户互动等，以便悄悄收集有价值的信息。

“通过利用流行应用程序（如 Telegram）和合法服务（如 Firebase）的广泛使用，FireScam
体现了现代恶意软件绕过检测、实施数据盗窃并保持对被攻击设备持久控制的先进战术。”—— Cyfirma 研究人员

FireScam 在 Android 上的广泛监控及持久性引发关注

T. Frank Downs ，BlueVoyant 的高级主动服务总监，指出 Telegram是全球使用最广泛的消息应用之一，特别是在俄罗斯，截至 2023 年，它的流量已经超过 WhatsApp。
Downs 表示，FireScam的多个独特特性使其相当险恶，包括其持久性和广泛的监控能力。他提到，恶意软件能够将自己指定为主要应用更新程序，从而防止其他安装程序对其进行修改，并确保在设备上的持久存在。此外，FireScam拦截、隐藏和操纵非结构化附加服务数据 (USSD) 的能力也值得注意，因为 USSD 有时涉及敏感数据，如认证码。

“一般来说，任何对安全不够警惕的 Android 用户都受到这种恶意软件的威胁。然而，由于它是通过一个模仿 RuStore
应用商店的钓鱼网站进行分发的，因此俄罗斯的 Android 用户似乎是主要目标。”—— Downs 说。

Eric Schwake ，Salt Security 的网络安全策略总监，指出 FireScam恶意软件的活动揭示了移动威胁格局中的一个令人担忧的发展：针对 Android 设备的恶意软件正变得越来越复杂。

“尽管通过钓鱼网站分发恶意软件并不是新的战术，但 FireScam 的具体方法，如伪装成 Telegram Premium 应用并利用 RuStore
应用商店，展示了攻击者欺骗和妥协无辜用户的演变技术。”—— Schwake 说。

加强 Android 安全的必要性

Stephen Kowski ，SlashNext 电子邮件安全的首席技术官，解释了 FireScam恶意软件的复杂性在于其通过巧妙的权限操控和使用 Firebase云消息传递进行命令和控制，突显了需要先进的移动威胁检测，能够识别超出简单特征匹配的恶意行为。

“实时移动应用扫描和持续监控是至关重要的保护措施，因为这些攻击常常通过利用用户信任和合法分发渠道绕过传统安全措施。”—— Kowski 说。

Matt Bromiley ，LimaCharlie的首席解决方案工程师表示，每当一个应用可以提供“免费”高级服务时，往往能够引起更多的关注，并获得更多的下载。他指出，我们经常看到类似的活动使用其他消息应用，试图欺骗用户下载恶意或被劫持的版本。

“这种类型的活动有效地追寻寻找热门应用的受害者。像 Telegram 这样的消息应用被数百万用户使用，因此目标池非常大，可能导致大量下载和安装。”——
Bromiley 说。

| 关键特点 | 描述