Phần mềm độc hại mới có tên FireScam đang được phát tán dưới dạng ứng dụng Telegram Premium giả mạo qua các trang web lừa đảo trên GitHub. Những trang này giả danh RuStore, một app cung cấp ứng dụng của Nga ra đời năm 2022 nhằm thay thế Google Play và App Store do các lệnh trừng phạt phương Tây.
Khi người dùng tải về tệp độc hại GetAppsRu.apk, FireScam sử dụng kỹ thuật ẩn mình để tránh bị phát hiện, đồng thời yêu cầu quyền truy cập vào các ứng dụng, bộ nhớ, và cài đặt phần mềm mới trên thiết bị. Sau đó, nó cài đặt ứng dụng độc hại chính, Telegram Premium.apk, để theo dõi thông báo, clipboard, tin nhắn SMS và dữ liệu điện thoại.
Khi mở ứng dụng, FireScam hiển thị trang đăng nhập Telegram giả mạo để đánh cắp thông tin tài khoản. Dữ liệu bị đánh cắp được tải lên cơ sở dữ liệu Firebase theo thời gian thực và chỉ lưu trữ tạm thời trước khi bị chuyển sang nơi khác.
Phần mềm độc hại này còn duy trì kết nối liên tục với máy chủ Firebase để nhận lệnh, thu thập thêm dữ liệu, cài tải trọng mới, và theo dõi các hoạt động như thao tác trên màn hình hoặc giao dịch tài chính. Nó có thể đánh cắp mọi dữ liệu mà người dùng nhập, sao chép, hoặc tự động điền từ trình quản lý mật khẩu.
Các chuyên gia khuyến cáo người dùng không tải tệp từ nguồn không đáng tin cậy và tránh nhấp vào các liên kết lạ.
