Come rimuovere FireScam dai dispositivi Android
Scitto da Tomas Meskauskas il
Che cos'è FireScam?
FireScam è un malware che colpisce i dispositivi Android. Gli attori delle minacce diffondono il malware attraverso una falsa app Telegram Premium su un sito di phishing. FireScam infetta i dispositivi con un APK dropper. Il malware evita il rilevamento e ruba i dati utilizzando servizi popolari come Firebase. Dovrebbe essere eliminato dai dispositivi infetti il prima possibile.
FireScam in dettaglio
Una volta infiltratosi, FireScam controlla le applicazioni e i dettagli del dispositivo infetto, come il modello e la versione del sistema, per vedere se si trova in un ambiente controllato o virtuale. Questo lo aiuta a evitare il rilevamento, ad adattare gli attacchi e ad aggirare le misure di sicurezza per un'operazione di successo.
FireScam registra un servizio per gestire le notifiche push di Firebase. Alla ricezione di un messaggio, un determinato evento attiva il servizio. Questo servizio può eseguire comandi remoti, fornire payload dannosi e inviare dati sensibili dal dispositivo a un server remoto senza che la vittima ne sia consapevole.
Inoltre, il malware può accedere all'app Messaggi e catturare il contenuto dei messaggi di testo. Questa funzione consente agli aggressori di accedere e rubare i dati dei messaggi privati. Inoltre, FireScam rileva quando lo schermo del dispositivo viene acceso o spento e registra l'evento insieme al nome dell'app. Invia poi queste informazioni a un database Firebase, offrendo agli aggressori un modo per tracciare l'attività del dispositivo.
Il malware utilizza anche un servizio per tracciare alcune notifiche sul dispositivo, come gli avvisi dei messaggi. Ignora alcuni tipi di notifiche, come quelle silenziose. Le applicazioni che FireScam potrebbe prendere di mira includono Telegram, Viber, VK e WhatsApp. FireScam prende di mira anche i dati provenienti da altre applicazioni, come l'app Telefono, Google Play Store e altre.
FireScam monitora tutte le notifiche che rientrano in determinati filtri, consentendo di accedere a informazioni sensibili da qualsiasi app. Chiede il permesso di visualizzare tutte le notifiche, consentendo di intercettare messaggi, avvisi di chiamata e di tracciare attività come i login, compromettendo la privacy.
Il malware ascolta le risposte USSD (come quelle dei servizi di telefonia mobile) e cattura dettagli come i saldi dei conti o le transazioni. Con l'accesso agli SMS e ai servizi telefonici, può tracciare segretamente le azioni USSD e rubare dati sensibili.
Inoltre, FireScam tiene traccia dei dati provenienti da varie fonti, come l'immissione di testo, i dati di riempimento automatico, gli appunti, le azioni di trascinamento e la condivisione di app. Raccoglie informazioni sensibili, come password o messaggi personali, e le invia a un server remoto. Monitorando la provenienza dei dati, può indirizzare informazioni specifiche per il furto, agendo come uno spyware.
Il malware controlla anche quanto tempo lo schermo rimane attivo e registra le interazioni dell'utente. Monitorando l'attività dell'utente, il malware può conoscere l'utilizzo delle app e le abitudini degli utenti, consentendo di raccogliere informazioni sensibili per annunci mirati, frodi o spionaggio.
Inoltre, FireScam monitora le attività di e-commerce verificando la presenza di eventi specifici come acquisti o rimborsi. Se rileva tali eventi, li registra, consentendo di tracciare il comportamento degli utenti nelle app di shopping. Questo può aiutare il malware a raccogliere dati sensibili sulle transazioni e sui pagamenti.
È inoltre importante notare che FireScam può scaricare immagini da un URL specifico. Questo potrebbe essere utilizzato per trasferire dati o consegnare ulteriori payload dannosi (malware nascosto nelle immagini). Potrebbe utilizzare Firebase Messaging o altri canali per ricevere queste immagini, consentendo ulteriori attacchi.
| Nome | FireScam spyware |
| Tipo di minaccia | Malware Android, applicazione dannosa, applicazione indesiderata. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Riskware.Kerty.aAGC), ESET-NOD32 (Una variante di Android/Spy.Agent.DVZ), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.bb), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza l'autorizzazione dell'utente, appaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili, vengono diffusi annunci pubblicitari intrusivi. |
| Metodi di distribuzione | Ingegneria sociale, applicazioni ingannevoli, siti web truffa. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità. |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Conclusione
In conclusione, FireScam è un malware altamente sofisticato che sfrutta varie tattiche per infiltrarsi e monitorare i dispositivi infetti. È una minaccia pericolosa e persistente che compromette la privacy, facilita il furto di dati e apre la porta a ulteriori attività dannose.
Alcuni esempi di altri malware per Android sono NoviSpy, PlainGnome e BoneSpy.
Come si è infiltrato FireScam nel mio dispositivo?
Il malware viene diffuso attraverso un falso APK di Telegram Premium su un sito web di phishing ospitato su GitHub.io, che finge di essere l'app store RuStore. Il sito web fornisce un dropper che installa FireScam, camuffato da app Telegram Premium. Il file principale del malware, Telegram Premium.apk (ru.get.app), è progettato per infettare i dispositivi con versioni Android da 8 a 15. Il dropper si installa come app chiamata GetAppsRu.
Il dropper si installa come un'app chiamata GetAppsRu. Quando la si apre, mostra un'opzione per installare Telegram Premium. Dopo aver mostrato un avviso di sicurezza, installa il malware FireScam (chiamato child.apk) sul dispositivo, fingendo di essere l'app Telegram Premium.
Come evitare l'installazione del malware?
Scaricare le applicazioni da fonti affidabili, come gli app store ufficiali (Google Play, Apple App Store) o i siti web affidabili. Utilizzare un software antivirus affidabile per rilevare e bloccare le minacce. Aggiornate regolarmente tutte le applicazioni e il sistema operativo. Non cliccate sui link o aprite gli allegati di e-mail o messaggi non richiesti, soprattutto se provenienti da mittenti sconosciuti.
Evitate di interagire con i pop-up, gli annunci, i link, i pulsanti e così via, che si trovano su siti web di dubbia provenienza.
Sito web ingannevole che promuove una falsa app Telegram Premium (fonte: cyfirma.com):
Richiesta di installazione di FireScam (fonte: cyfirma.com):
Finta richiesta di permessi da parte dell'app (fonte: cyfirma.com):
Finta finestra di accesso a Telegram (fonte: cyfirma.com):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuare i siti Web che forniscono notifiche del browser, toccarli e fare clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Ripristinare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'azione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia su rete mobile che su rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo è infettato dal malware FireScam, devo formattare il dispositivo di archiviazione per eliminarlo?
La formattazione del dispositivo di archiviazione può rimuovere il malware, ma è una misura drastica. Prima di ricorrere a questa soluzione, eseguite una scansione completa con un software di sicurezza affidabile come Combo Cleaner per verificare se è in grado di rilevare e rimuovere FireScam.
Quali sono i maggiori problemi che il malware può causare?
Il malware può causare perdita di dati, furto di informazioni personali, crash del sistema, rallentamento delle prestazioni, accesso non autorizzato a file sensibili, perdite finanziarie, furto di identità e diffusione di ulteriori infezioni.
Qual è lo scopo di FireScam?
FireScam è progettato per rubare informazioni preziose, spiare gli utenti ed eseguire ulteriori azioni dannose rimanendo inosservato sul dispositivo.
Come si è infiltrato FireScam nel mio dispositivo?
FireScam si è probabilmente infiltrato nel vostro dispositivo attraverso una falsa app "Telegram Premium" scaricata da un sito web di phishing. L'app funge da dropper, installando il malware e richiedendo le autorizzazioni per accedere a dati sensibili come messaggi e notifiche. Comunica poi con un server remoto per rubare informazioni e tracciare le attività dell'utente.
Combo Cleaner mi protegge dal malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere quasi tutte le infezioni da malware conosciute. Tuttavia, il malware avanzato spesso si nasconde in profondità nel sistema, quindi si consiglia di eseguire una scansione completa del sistema per garantire la rimozione completa.
Eccezionale!
▼ Mostra Discussione