Pesquisadores de segurança cibernética descobriram o FireScam, um malware que se apresenta como uma versão premium do Telegram para roubar dados e controlar dispositivos Android remotamente. Ele é distribuído por um site de phishing hospedado no GitHub.io, que imita a loja de aplicativos russa RuStore. O malware emprega um processo de infecção em várias etapas, começando com um arquivo APK malicioso chamado “GetAppsRu.apk”, que age como dropper para instalar o payload principal. 

Após a instalação, ele coleta dados sensíveis, incluindo notificações, mensagens e informações de aplicativos, enviando-os para um banco de dados Firebase Realtime. Para operar, o aplicativo solicita permissões amplas, como instalar, atualizar e excluir aplicativos, além de acessar contatos, registros de chamadas e mensagens SMS. Ele também se registra como “dono de atualização”, bloqueando correções de segurança de fontes legítimas sem autorização do usuário. O FireScam utiliza técnicas avançadas para evitar detecção e mantém controle persistente no dispositivo. Ele monitora notificações, transações de e-commerce, mudanças na tela e até o conteúdo da área de transferência. Além disso, exibe uma página falsa de login do Telegram via WebView para capturar credenciais, embora inicie suas atividades maliciosas independentemente do login.

O malware é capaz de receber comandos remotos via Firebase Cloud Messaging e estabelece conexões com servidores de comando e controle (C2) para exfiltrar dados e realizar outras ações. O site de phishing também hospedava outro arquivo malicioso chamado CDEK, possivelmente relacionado a um serviço russo de rastreamento de pacotes, mas os analistas não conseguiram acessá-lo. Ainda não se sabe quem está por trás do FireScam ou como os usuários são direcionados para os links maliciosos. A Cyfirma alerta que, ao imitar plataformas confiáveis como a RuStore, o malware explora a confiança dos usuários para espalhar aplicativos falsos e ampliar seu alcance.