06/67 (IT) ประจำวันจันทร์ที่ 6 มกราคม 2568
มัลแวร์ Android ชื่อ FireScam ถูกพบว่าปลอมตัวเป็นแอป Telegram เวอร์ชันพรีเมียมและแพร่กระจายผ่านเว็บไซต์ฟิชชิงบน GitHub ที่เลียนแบบหน้าตาของ RuStore ซึ่งเป็นตลาดแอปของรัสเซีย โดย RuStore ได้เปิดตัวในปี 2022 เพื่อเป็นทางเลือกแทน Google Play และ App Store หลังจากการคว่ำบาตรทางเทคโนโลยีต่อรัสเซีย และจากการรายงานของ บริษัท Cyfirma ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระบุว่าเว็บไซต์ปลอมดังกล่าวเริ่มด้วยการดาวน์โหลดไฟล์ GetAppsRu.apk ซึ่งเป็น dropper module ที่ถูกเข้ารหัสแบบ DexGuard เพื่อหลบเลี่ยงการตรวจจับ และร้องขอสิทธิ์เข้าถึงข้อมูลในอุปกรณ์ เช่น แอปพลิเคชันที่ติดตั้งไว้ พื้นที่เก็บข้อมูล และติดตั้งไฟล์มัลแวร์เพิ่มเติม เมื่อ dropper ทำงาน จะติดตั้งมัลแวร์ Telegram Premium.apk และขอสิทธิ์สำคัญ เช่น การเข้าถึงการแจ้งเตือน ข้อมูลคลิปบอร์ด และข้อความ SMS ซึ่งมัลแวร์นี้ยังแสดงหน้า WebView ปลอมที่เลียนแบบหน้าเข้าสู่ระบบ Telegram เพื่อหลอกขโมยข้อมูลล็อกอินของผู้ใช้ และส่งข้อมูลที่ได้ไปยังฐานข้อมูล Firebase Realtime Database แบบเรียลไทม์ ก่อนจะลบข้อมูลทิ้งหลังคัดกรองข้อมูลสำคัญและย้ายไปยังปลายทางอื่น นอกจากนี้ยังเชื่อมต่อกับ Firebase C2 ผ่าน WebSocket เพื่อรับคำสั่งต่าง ๆ แบบเรียลไทม์ รวมถึงดาวน์โหลดและรันโค้ดใหม่
บริษัท Cyfirma ระบุว่า FireScam เป็นมัลแวร์ที่ซับซ้อนและใช้เทคนิคการหลบเลี่ยงขั้นสูง เช่น การเฝ้าติดตามการใช้งานแอป ตรวจจับการทำธุรกรรมออนไลน์ และขโมยข้อมูลที่ป้อนผ่านคลิปบอร์ด รวมถึงข้อมูลจากโปรแกรมจัดการรหัสผ่าน บริษัทแนะนำให้ผู้ใช้งานระมัดระวังการดาวน์โหลดไฟล์จากแหล่งที่ไม่เชื่อถือได้ และหลีกเลี่ยงการคลิกลิงก์น่าสงสัยเพื่อลดความเสี่ยงจากการตกเป็นเป้าหมายของมัลแวร์
