FireScam adlı kötü amaçlı yazılım, kullanıcıların önemli verilerini çalmayı amaçlıyor ve gizlenmek için gelişmiş teknikler kullanıyor.
Bir teknik raporda, FireScam'ın Android cihazlarda tespit edildiği ve kullanıcıları kandırmak için sahte bir Telegram Premium uygulaması olarak yayıldığı belirtildi. Bu yazılım, özellikle Rusya'da popüler olan sahte bir RuStore uygulama mağazası üzerinden dağıtılmakta. Ancak uzmanlar, saldırganların farklı bölgelerde de faaliyet gösterebileceği konusunda uyarıyor.
FireScam, çok aşamalı bir saldırı yöntemiyle cihazlara sızıyor. İlk aşamada yükleyici (dropper) aracılığıyla sisteme bulaşan yazılım, kullanıcıların verilerini çalarken aynı zamanda cihazdaki faaliyetleri izliyor. Firebase gibi yasal platformlardan yararlanarak tespit edilmekten kaçmaya çalışıyor. Bu zararlı yazılım sadece veri hırsızlığı yapmakla kalmıyor, aynı zamanda cihaz üzerinde kalıcı bir kontrol sağlıyor.
Rapor, FireScam’ın cihazlardaki ekran değişikliklerini, e-ticaret aktivitelerini, pano (clipboard) verilerini ve kullanıcı etkileşimlerini izlediğini gösteriyor. Ayrıca, sistem uygulamaları da dahil olmak üzere farklı kaynaklardan gelen bildirimleri topluyor. Çalınan veriler, Firebase üzerindeki gerçek zamanlı bir veritabanı aracılığıyla dışarıya gönderiliyor.
Araştırmacılar, popüler mesajlaşma uygulamaları ve diğer yaygın hizmetler üzerinden bireyler ve kuruluşlar için büyük bir tehdit oluşturduğunu belirtiyor. Kullanıcıların yalnızca güvenilir mağazalardan uygulama indirmeleri ve sahte uygulama mağazalarına karşı dikkatli olmaları gerektiği vurgulanıyor. FireScam örneği, günümüzdeki kötü amaçlı yazılımların ne kadar karmaşık ve tehlikeli bir hal aldığını bir kez daha gözler önüne seriyor.