Un nuevo y peligroso malware, conocido como FireScam, está circulando entre los usuarios de Android, haciéndose pasar por la versión Premium de Telegram. Este virus malicioso, diseñado para espiar notificaciones, SMS y robar credenciales bancarias, se distribuye a través de sitios web de phishing alojados en GitHub, imitando a la plataforma rusa de aplicaciones RuStore.

Cómo opera FireScam

Los ciberdelincuentes detrás de FireScam han duplicado la web oficial de Telegram Premium, engañando a los usuarios para que descarguen un archivo malicioso llamado GetAppsRu.apk desde GitHub. Una vez que el usuario instala esta falsa versión de la aplicación, el malware toma el control del dispositivo, obteniendo permisos para acceder al almacenamiento, leer notificaciones, capturar datos del portapapeles e interceptar SMS.

Una de las tácticas más sofisticadas de FireScam es el uso de una pantalla WebView que simula la página de inicio de sesión de Telegram. Los usuarios, al ingresar sus credenciales, no solo permiten el acceso a su cuenta de mensajería, sino que también otorgan a los ciberdelincuentes la capacidad de robar información sensible, incluidas contraseñas y datos bancarios.

Por qué representa un riesgo FireScam

El malware FireScam no solo roba información personal y financiera, sino que también:

• Monitorea la actividad del dispositivo: Detecta si está encendido o apagado y registra qué aplicación está activa.
• Evade sistemas de seguridad: Usa técnicas avanzadas para burlar antivirus y ocultar su presencia en el dispositivo.
• Accede a gestores de contraseñas: Obtiene datos confidenciales almacenados en estas herramientas.
• Registra compras online: Guarda información bancaria utilizada en transacciones realizadas desde el móvil.

Además, FireScam está conectado a una base de datos en tiempo real conocida como Firebase, donde los datos robados son cargados de manera instantánea. Los ciberdelincuentes analizan esta información y, si encuentran datos valiosos, los filtran a otras plataformas para realizar estafas o ventas en el mercado negro.

FireScam ha sido detectado principalmente en sitios web de phishing que imitan a RuStore, una plataforma de aplicaciones para dispositivos móviles creada en Rusia en 2022 como alternativa a Google Play y App Store tras las sanciones occidentales. Aunque RuStore cuenta con el apoyo del Ministerio de Desarrollo Digital de Rusia y sus aplicaciones cumplen con las regulaciones locales, algunas de ellas vulneran derechos de los usuarios establecidos por la Unión Europea.

Este malware aprovecha la confianza generada por la conexión entre RuStore y GitHub, dos plataformas reconocidas, para engañar a los usuarios y distribuir su archivo malicioso.

Cómo protegerte de FireScam

El equipo de investigadores en ciberseguridad de Cyfirma describe a FireScam como una “amenaza sofisticada y multifacética” que utiliza técnicas avanzadas de evasión. Aunque los responsables detrás del malware no han sido identificados, los expertos recomiendan a los usuarios seguir estas medidas preventivas:

• Evita descargar aplicaciones fuera de las tiendas oficiales: Siempre utiliza Google Play o App Store para instalar aplicaciones en tu dispositivo.
• Desconfía de enlaces sospechosos: No abras enlaces que prometen versiones premium o gratuitas de aplicaciones populares desde plataformas no verificadas.
• Mantén tu sistema actualizado: Instala las últimas actualizaciones de seguridad de tu dispositivo Android.
• Utiliza un antivirus confiable: Aunque FireScam tiene técnicas para evadir detección, un buen antivirus puede reducir el riesgo de infección.
• Verifica los permisos de las aplicaciones: Si una app solicita permisos excesivos, como acceso al almacenamiento o lectura de SMS, considera no instalarla.

FireScam representa una nueva etapa en las amenazas digitales, combinando técnicas avanzadas de ingeniería social con capacidades de monitoreo en tiempo real. Este tipo de malware no solo compromete la privacidad de los usuarios, sino que también pone en riesgo su seguridad financiera, dado que accede a credenciales bancarias y datos personales sensibles.