بدافزار اندرویدی جدید به نام FireScam به عنوان نسخه پریمیوم برنامه تلگرام از طریق وبسایتهای فیشینگ در GitHub که از اپمارکت روسیه RuStore (جایگزین گوگلپلی و اپاستور اپل، دربردارنده اپهایی است که با مقررات روسیه مطابقت دارند) برای دستگاههای تلفن همراه تقلید میکنند، توزیع میشود.
به گفته محققان شرکت مدیریت تهدید Cyfirma، صفحه مخرب GitHub که از RuStore تقلید میکند، ابتدا یک ماژول دراپر به نام GetAppsRu.apk ارائه میدهد. دراپر APK با استفاده از DexGuard برای فرار از شناسایی مبهم میشود و مجوزهایی را به دست میآورد که به آن امکان شناسایی اپهای نصب شده و امکان دسترسی به فضای ذخیرهسازی دستگاه و نصب پکیجهای اضافی را میدهد. در مرحله بعد، بارگذاری بدافزار اصلی، «Telegram Premium.apk» را استخراج و نصب میکند، که مجوز نظارت بر اعلانها، دادههای کلیپبورد، پیامکها و سرویسهای تلفن و غیره را درخواست میکند.
https://www.bleepingcomputer.com/news/security/new-firescam-android-data-theft-malware-poses-as-telegram-premium-app/
