.png)
.png)
.png)
.png)
<p> .<br />
</p>
<div id="body">
<p><span class="label">atualizado</span> O malware Android apelidado de FireScam faz as pessoas pensarem que estão baixando um aplicativo Telegram Premium que monitora furtivamente as notificações, mensagens de texto e atividades de aplicativos das vítimas, enquanto rouba informações confidenciais por meio dos serviços Firebase.</p>
<p>Os pesquisadores da Cyfirma identificaram o novo infostealer com recursos de spyware e disseram que o malware é distribuído por meio de um site de phishing hospedado no GitHub.io que imita a RuStore, uma popular loja de aplicativos da Federação Russa.</p>
<p>O site de phishing oferece um conta-gotas chamado ru[.]loja[.]instalador e instala como GetAppsRu[.]APK. Quando iniciado, solicita aos usuários que instalem o Telegram Premium.</p>
<div aria-hidden="true" class="adun" data-pos="top" data-raptor="condor" data-xsm=",fluid,mpu," data-sm=",fluid,mpu," data-md=",fluid,mpu,">
<noscript></p>
<p> <img decoding="async" src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/research&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2Z4Zu4Wa-r_jrOEaJl3T_6AAAAUo&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" alt=""/></p>
<p> </noscript>
</div>
<p>Claro, este não é realmente o aplicativo de mensagens, mas sim o malware FireScam, e tem como alvo dispositivos com Android 8 a 15.</p>
<div aria-hidden="true" class="adun" data-pos="top" data-raptor="falcon" data-xmd=",fluid,mpu,leaderboard," data-lg=",fluid,mpu,leaderboard," data-xlg=",fluid,billboard,superleaderboard,mpu,leaderboard," data-xxlg=",fluid,billboard,superleaderboard,brandwidth,brandimpact,leaderboard,mpu,">
<noscript></p>
<p> <img decoding="async" src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/research&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Z4Zu4Wa-r_jrOEaJl3T_6AAAAUo&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt=""/></p>
<p> </noscript>
</div>
<div class="adun_eagle_desktop_story_wrapper">
<div aria-hidden="true" class="adun" data-pos="mid" data-raptor="eagle" data-xxlg=",mpu,dmpu,">
<noscript></p>
<p> <img decoding="async" src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/research&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Z4Zu4Wa-r_jrOEaJl3T_6AAAAUo&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt=""/></p>
<p> </noscript>
</div>
</p></div>
<p>Uma vez instalado, ele solicita uma série de permissões que permitem consultar e listar todos os aplicativos instalados no dispositivo, acessar e modificar o armazenamento externo e instalar e excluir outros aplicativos.</p>
<p>Além disso, uma das permissões designa o criminoso que instalou o FireScam como o “proprietário da atualização” do aplicativo, evitando assim atualizações legítimas de outras fontes e permitindo que o malware mantenha persistência no dispositivo da vítima.</p>
<div aria-hidden="true" class="adun" data-pos="top" data-raptor="falcon" data-xsm=",fluid,mpu," data-sm=",fluid,mpu," data-md=",fluid,mpu,">
<noscript></p>
<p> <img decoding="async" src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/research&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44Z4Zu4Wa-r_jrOEaJl3T_6AAAAUo&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt=""/></p>
<p> </noscript>
</div>
<p>Os invasores podem usar o malware infostealer/vigilância para interceptar e roubar dispositivos confidenciais e informações pessoais, incluindo notificações, mensagens, outros dados de aplicativos, conteúdo da área de transferência e respostas USSD, que podem incluir saldos de contas, transações móveis ou dados relacionados à rede.</p>
<p>“Esses logs são então exfiltrados para um banco de dados Firebase, concedendo aos invasores acesso remoto aos detalhes capturados sem o conhecimento do usuário”, observaram os pesquisadores da Cyfirma.</p>
<p>Os dados roubados são armazenados temporariamente no Firebase Realtime Database, filtrados em busca de informações valiosas e posteriormente removidos.</p>
<p>Este uso de serviços legítimos – especificamente o Firebase, neste caso, para exfiltração de dados e comunicações de comando e controle (C2) – também ajuda o malware a escapar da detecção e é uma tática cada vez mais usada para disfarçar tráfego e cargas maliciosas.</p>
<p>FireScam registra um serviço para receber notificações do Firebase Cloud Messaging (FCM). Sempre que o aplicativo recebe uma notificação push do Firebase, isso aciona o serviço de mensagens.</p>
<div aria-hidden="true" class="adun" id="story_eagle_xsm_sm_md_xmd_lg_xlg" data-pos="mid" data-raptor="eagle" data-xsm=",mpu,dmpu," data-sm=",mpu,dmpu," data-md=",mpu,dmpu," data-xmd=",mpu,dmpu," data-lg=",mpu,dmpu," data-xlg=",mpu,dmpu,">
<noscript></p>
<p> <img decoding="async" src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/research&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33Z4Zu4Wa-r_jrOEaJl3T_6AAAAUo&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt=""/></p>
<p> </noscript>
</div>
<p>Isso pode ser usado para receber comandos remotos do servidor C2 e executar ações específicas, além de entregar silenciosamente cargas maliciosas adicionais que podem ser baixadas e instaladas remotamente.</p>
<p>“O aplicativo também pode exfiltrar dados confidenciais do dispositivo para um servidor remoto sem o conhecimento do usuário, mantendo comunicação contínua com o servidor remoto mesmo quando o aplicativo não está ativamente em primeiro plano”, alertaram os pesquisadores.</p>
<p>Essa comunicação também torna mais difícil a detecção pelas ferramentas de segurança. Além disso, o malware traça o perfil do dispositivo, o que permite adaptar seu comportamento a ambientes específicos e contornar ainda mais os controles de segurança. ®</p>
<p>
<strong>Atualizado para adicionar às 19h15 UTC de 10 de janeiro de 2025</strong>
</p>
<p>Um porta-voz do Google disse <em>O Registro</em> na sexta-feira, “Com base em nossa detecção atual, nenhum aplicativo contendo esse malware está presente no Google Play.”</p>
<p>“Os usu&