Jan 06, 2025Ravie LakshmananMalware / Mobile Security Taarifa ya Android inayoiba programu hasidi inayoitwa FireScam imepatikana ikijifanya kuwa toleo la kwanza la programu ya kutuma ujumbe wa Telegram ili kuiba data na kudumisha udhibiti endelevu wa kijijini kwenye vifaa vilivyoathiriwa. “Ikiwa imejificha kama programu ghushi ya ‘Telegram Premium’, inasambazwa kupitia tovuti ya hadaa iliyopangishwa na GitHub.io ambayo inaiga RuStore – duka maarufu la programu katika Shirikisho la Urusi,” Cyfirma alisema, akiielezea kama “tishio la kisasa na lenye mambo mengi. ” “Programu hasidi hutumia mchakato wa maambukizo ya hatua nyingi, kuanzia na APK ya kushuka, na hufanya shughuli za ufuatiliaji wa kina mara tu inaposakinishwa.” Tovuti ya hadaa inayohusika, rustore-apk.github[.]io, inaiga RuStore, duka la programu lililozinduliwa na kampuni kubwa ya teknolojia ya Kirusi ya VK nchini, na imeundwa kutoa faili ya APK ya kushuka (“GetAppsRu.apk”). Mara baada ya kusakinishwa, dropper hufanya kazi kama gari la kuwasilisha mzigo mkuu, ambao una jukumu la kuchuja data nyeti, ikijumuisha arifa, ujumbe na data nyingine ya programu hadi mwisho wa Hifadhidata ya Muda Halisi ya Firebase. Programu ya dropper huomba ruhusa kadhaa, ikiwa ni pamoja na uwezo wa kuandika kwenye hifadhi ya nje na kusakinisha, kusasisha au kufuta programu kiholela kwenye vifaa vya Android vilivyoambukizwa vinavyotumia Android 8 na matoleo mapya zaidi. “Ruhusa ya ENFORCE_UPDATE_OWNERSHIP inazuia masasisho ya programu kwa mmiliki aliyeteuliwa wa programu. Kisakinishi cha kwanza cha programu kinaweza kujitambulisha kuwa ‘mmiliki wa sasisho,’ na hivyo kudhibiti masasisho ya programu,” Cyfirma alibainisha. “Utaratibu huu huhakikisha kwamba majaribio ya kusasisha ya wasakinishaji wengine yanahitaji idhini ya mtumiaji kabla ya kuendelea. Kwa kujitambulisha kama mmiliki wa sasisho, programu hasidi inaweza kuzuia masasisho halali kutoka kwa vyanzo vingine, na hivyo kudumisha uendelevu wake kwenye kifaa.” FireScam hutumia mbinu mbalimbali za ufichuzi na za kupinga uchanganuzi ili kukwepa kugunduliwa. Pia huweka vichupo kwenye arifa zinazoingia, mabadiliko ya hali ya skrini, miamala ya biashara ya mtandaoni, maudhui ya ubao wa kunakili na shughuli za mtumiaji ili kukusanya taarifa zinazowavutia. Kazi nyingine inayojulikana ni uwezo wake wa kupakua na kuchakata data ya picha kutoka kwa URL maalum. Programu mbovu ya Telegram Premium, inapozinduliwa, hutafuta zaidi ruhusa ya watumiaji kufikia orodha za anwani, kumbukumbu za simu, na ujumbe wa SMS, kisha ukurasa wa kuingia wa tovuti halali ya Telegram huonyeshwa kupitia Mwonekano wa Wavuti ili kuiba vitambulisho. Mchakato wa kukusanya data unaanzishwa bila kujali kama mwathirika anaingia au la. Hatimaye, husajili huduma ili kupokea arifa za Kutuma Ujumbe kupitia Wingu la Firebase (FCM), kuiruhusu kupokea amri za mbali na kudumisha ufikiaji wa siri – ishara ya uwezo mpana wa ufuatiliaji wa programu hasidi. Programu hasidi pia huanzisha muunganisho wa WebSocket kwa wakati mmoja na seva yake ya amri na udhibiti (C2) kwa uchujaji wa data na shughuli za ufuatiliaji. Cyfirma alisema kikoa cha kuhadaa ili kupata maelezo ya kibinafsi pia kiliandaa vizalia vingine hasidi vinavyoitwa CDEK, ambavyo huenda vinarejelea kifurushi cha msingi cha Urusi na huduma ya kufuatilia uwasilishaji. Hata hivyo, kampuni ya usalama wa mtandao ilisema haikuweza kupata vizalia hivyo wakati wa uchambuzi. Kwa sasa haijulikani waendeshaji ni akina nani, au jinsi watumiaji wanaelekezwa kwa viungo hivi, na ikiwa inahusisha ulaghai wa SMS au mbinu za kupotosha. “Kwa kuiga mifumo halali kama vile Duka la programu la RuStore, tovuti hizi hasidi hutumia uaminifu wa watumiaji kuwahadaa watu kupakua na kusakinisha programu ghushi,” Cyfirma alisema. “FireScam hutekeleza shughuli zake hasidi, ikiwa ni pamoja na uchujaji na ufuatiliaji wa data, kuonyesha zaidi ufanisi wa mbinu za usambazaji zinazotegemea hadaa katika kuambukiza vifaa na kukwepa kugunduliwa.” Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply