Descargar apps de fuentes no confiables sigue siendo uno de los errores más comunes (y peligrosos) que muchos cometemos con nuestros móviles. Y los ciberdelincuentes, siempre atentos, lo aprovechan al máximo. ¿La última trampa en circulación? FireScam, un malware para Android que se está colando en dispositivos haciéndose pasar por una versión "premium" de Telegram. Suena bastante creíble, ¿no? La promesa es tentadora: funciones exclusivas y sin anuncios, pero en realidad terminas instalando un troyano que roba tus datos personales, contraseñas e incluso información bancaria.
Lo preocupante es cómo se está distribuyendo. Los atacantes están utilizando páginas web de phishing alojadas en GitHub, donde imitan a RuStore, el mercado de aplicaciones móviles ruso que surgió como alternativa tras las sanciones occidentales. Aunque pueda parecer que esta amenaza está dirigida solo a usuarios en Rusia, no es así. El alcance de estos ataques es global, y cualquiera podría caer en la trampa si no presta atención.
Así que, si alguna vez has considerado descargar una app "premium" desde un sitio externo, sigue leyendo. Vamos a explicarte cómo funciona FireScam y, lo más importante, cómo protegerte para evitar que tu información caiga en manos equivocadas.
¿Cómo se distribuye y qué permisos solicita el malware FireScam?
Expertos en ciberseguridad han descubierto que los atacantes están utilizando una página maliciosa alojada en GitHub que imita a RuStore, el mercado de aplicaciones ruso, para distribuir el malware. El engaño comienza con la descarga de un archivo llamado GetAppsRu.apk, que funciona como un "cuentagotas" (dropper).
Este archivo inicial viene ofuscado con una técnica llamada DexGuard, que básicamente hace que el malware sea más difícil de detectar por las soluciones de seguridad. Una vez que se instala en el dispositivo, adquiere permisos críticos, como acceso al almacenamiento, la capacidad de identificar qué aplicaciones tienes instaladas e incluso instalar otros paquetes adicionales sin que te des cuenta.
Luego viene la parte peligrosa: el dropper extrae e instala el archivo principal del malware, llamado Telegram Premium.apk. Esta falsa app solicita un montón de permisos sensibles, incluyendo acceso a tus notificaciones, mensajes SMS, datos del portapapeles y hasta los servicios de telefonía de tu dispositivo. Con esos permisos, los atacantes pueden recopilar prácticamente toda la información que pasa por tu teléfono, lo que les abre las puertas para robar credenciales, interceptar códigos de verificación y monitorear tus actividades sin que lo notes.
Clon de RuStore alojado en un dominio de GitHub.io (Fuente: Cyfirma)
¿Qué puede hacer FireScam una vez que infecta tu dispositivo?
Una vez que FireScam se instala en un dispositivo Android, empieza a desplegar todas sus habilidades de robo. La primera trampa es una pantalla falsa que parece un inicio de sesión de Telegram, pero en realidad está diseñada para robar tus credenciales. Si introduces tu usuario y contraseña ahí, los atacantes ya tienen acceso directo a tu cuenta.
Pero esto es solo el comienzo. El malware establece una comunicación constante con una base de datos de Firebase, donde va subiendo los datos robados en tiempo real. Además, registra tu dispositivo con un identificador único, para que los atacantes puedan hacerle un seguimiento y gestionarlo como parte de su red de víctimas.
Lo más inquietante es que esos datos no permanecen mucho tiempo en la base de datos de Firebase. Según los investigadores de Cyfirma, los ciberdelincuentes filtran la información rápidamente, guardan lo que les interesa en otro lugar y luego eliminan los registros temporales. Esto hace que sea más difícil rastrear qué datos se han robado y a dónde han ido.
Podría interesarte leer: Cerberus: Nueva Campaña de Troyano Bancario Dirigida a Android
Conexión en tiempo real: Cómo FireScam se mantiene activo
FireScam también abre una conexión WebSocket constante con Firebase, lo que le permite recibir comandos en tiempo real de los atacantes. ¿Qué pueden hacer con esto? Básicamente, cualquier cosa que necesiten en ese momento. Desde pedir datos específicos que quieran robar, hasta descargar más malware en tu dispositivo o ajustar cómo te están vigilando.
Además, FireScam está diseñado para monitorear todo lo que haces en tu dispositivo. Puede detectar cuándo la pantalla se enciende o se apaga, qué aplicaciones tienes abiertas en ese momento y, si estás usando alguna app durante más de un segundo, registra esa actividad.
Pero ahí no termina la cosa. Este malware también presta mucha atención a las transacciones financieras, como si estuviera cazando datos bancarios y números de tarjetas de crédito. Si usas tu móvil para hacer pagos o compras en línea, FireScam puede capturar esos datos y enviarlos directamente a los ciberdelincuentes.
¿Qué información puede robar FireScam?
FireScam es muy meticuloso. Captura prácticamente todo lo que escribes o haces en tu dispositivo. Desde lo que copias y pegas en el portapapeles hasta las contraseñas que usas en administradores de claves o cualquier dato autocompletado que pase entre aplicaciones. Toda esa información es organizada y enviada a los atacantes para que puedan explotarla como mejor les convenga.
Incluso intenta interceptar datos cuando cambias de una app a otra o realizas acciones aparentemente simples, como arrastrar y soltar texto o archivos.
Conoce más sobre: Campaña de Malware WarmCookie: Actualizaciones Falsas de Navegador
¿Por qué es tan difícil detectar a FireScam?
Una de las razones por las que FireScam es tan peligroso es que usa técnicas avanzadas de evasión para no ser detectado. Los investigadores lo consideran una amenaza sofisticada y multifacética, ya que no solo roba datos, sino que también se adapta a lo que necesita en cada momento, dependiendo de la víctima y del dispositivo comprometido. Aunque aún no está claro quiénes están detrás de este malware, lo que sí se sabe es que los atacantes han creado un sistema muy eficiente para extraer información sin levantar sospechas.
¿Cómo puedes protegerte? La mejor recomendación es simple, pero crucial: no descargues aplicaciones de fuentes desconocidas y ten mucho cuidado con los enlaces que recibes, especialmente si prometen apps premium o funciones exclusivas. Recuerda que los ciberdelincuentes saben perfectamente cómo hacer que sus engaños parezcan legítimos. ¿Una versión premium de Telegram gratis? Suena bien, pero puede salirte muy caro.
