Redazione RHC : 11 Gennaio 2025 16:09
È stato scoperto un nuovo malware Android, FireScam, che si maschera da versione premium di Telegram e prende di mira i dispositivi con versioni Android 8-15. Il malware viene distribuito tramite pagine di phishing su GitHub che imitano l’app store RuStore.
Secondo i ricercatori di Cyfirma , una pagina dannosa su GitHub.io che imitava RuStore (ora cancellata) ha inizialmente fornito alle vittime un modulo dropper chiamato GetAppsRu.apk.
Questo dropper APK viene offuscato con DexGuard per eludere il rilevamento e richiede autorizzazioni che gli consentano di identificare le app installate sul dispositivo della vittima, concedere l’accesso allo spazio di archiviazione e abilitare l’installazione di pacchetti aggiuntivi.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il dropper quindi estrae e installa il payload principale, Telegram Premium.apk, che chiede all’utente il permesso di tenere traccia delle notifiche, dei dati degli appunti, degli SMS, del registro delle chiamate e così via.
Dopo aver eseguito questo, l’utente vede una schermata WebView che mostra la pagina di accesso di Telegram. Le credenziali inserite in questa pagina alla fine finiscono nelle mani degli operatori del malware.
I ricercatori scrivono che FireScam alla fine stabilisce una connessione con il Firebase Realtime Database, dove carica tutti i dati rubati in tempo reale e registra anche il dispositivo compromesso, assegnandogli un ID univoco per il tracciamento. In questo caso i dati rubati vengono archiviati nel database solo temporaneamente e poi cancellati (presumibilmente dopo che gli aggressori hanno verificato la presenza di informazioni preziose e li hanno copiati in un’altra posizione).
Inoltre, il malware stabilisce una connessione WebSocket persistente con l’endpoint Firebase per eseguire vari comandi in tempo reale. Ad esempio, potrebbero trattarsi di richieste di dati specifici, caricamento immediato di dati nel database Firebase, caricamento ed esecuzione di payload aggiuntivi o configurazione di parametri di monitoraggio.
Inoltre, FireScam è in grado di tenere traccia dei cambiamenti nell’attività dello schermo registrando gli eventi di avvio e arresto del dispositivo e può anche registrare dati su applicazioni ed eventi attivi che durano più di 1000 millisecondi.
Il malware monitora attentamente anche tutte le transazioni finanziarie, cercando di intercettare dati riservati. Pertanto, gli operatori FireScam ricevono tutto ciò che l’utente digita sulla tastiera, trascina e copia negli appunti (compresi i dati inseriti automaticamente dai gestori di password).
Gli analisti di Cyfirma notano che lo stesso dominio di phishing ospitava un altro artefatto dannoso chiamato CDEK, probabilmente associato a una società logistica russa con lo stesso nome. Tuttavia, i ricercatori non sono stati in grado di studiare questo artefatto.
Redazione18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
