- Los investigadores han encontrado una aplicación falsa de Telegram Premium para Android
- Se distribuye a través de una página de phishing que se hace pasar por una tienda de aplicaciones rusa.
- El malware es capaz de filtrar todo tipo de información sensible
Los expertos han identificado una nueva pieza de malware que roba datos y se hace pasar por una de las aplicaciones de mensajería más populares que existen.
Los investigadores de seguridad cibernética de CyFirma descubrieron recientemente una aplicación de Android, que se hace pasar por una versión premium de Telegram, pero en realidad roba las credenciales de inicio de sesión y la información confidencial de la víctima.
Los investigadores explicaron cómo allá por 2022, cuando comenzó la invasión rusa de Ucrania, Occidente impuso fuertes sanciones al régimen de Putin. Estas sanciones significaron que los rusos no podían acceder a la Play Store de Google ni a la App Store de Apple. Para brindar a los ciudadanos rusos acceso a software móvil, el Ministerio de Desarrollo Digital del país, junto con VK (la red social insignia del país y esencialmente un clon de Facebook) crearon RuStore, un mercado de aplicaciones móviles.
Estafa de fuego
Cyfirma ahora afirma que alguien ha creado sitios de phishing en GitHub diseñados para parecerse a RuStore. Las víctimas que visiten el sitio recibirán primero un módulo de goteo llamado GetAppsRu.apk, que enumera las aplicaciones instaladas en el dispositivo, obtiene acceso al almacenamiento del dispositivo e instala paquetes adicionales.
Entre los paquetes adicionales se encuentra el malware principal, llamado Telegram Premium.apk. Este malware, conocido como FireScam, solicita permisos para monitorear notificaciones, datos de tabletas, SMS y más. También muestra una página de inicio de sesión de Telegram falsa para robar las credenciales.
Además, FireScam monitoreará la actividad de la aplicación, el panel, buscará transacciones de comercio electrónico y básicamente cualquier otra cosa que pueda ser útil. Luego, los datos se extraen a un servidor de terceros, donde se filtran y se transfieren a otro lugar. La información considerada inútil fue eliminada, agregaron.
Cyfirma no pudo atribuir FireScam a ningún actor de amenazas conocido, pero describió la operación como una “amenaza sofisticada y multifacética” que “utiliza técnicas de evasión avanzadas”. No hubo información sobre el número de víctimas potenciales. También se recomienda a los usuarios que tengan cuidado al abrir archivos de fuentes con las que no están completamente familiarizados o al hacer clic en enlaces potencialmente peligrosos.
a través de pitidocomputadora
