Cómo FireScam se disfraza de Telegram Premium para atacar Android: análisis exhaustivo y consejos actuales

  • FireScam utiliza páginas de phishing muy convincentes que imitan a plataformas como RuStore y Telegram Premium para engañar a los usuarios de Android.
  • El malware solicita permisos amplios e inicia un proceso de filtrado masivo de datos personales, desde mensajes hasta credenciales bancarias, mediante conexiones en tiempo real con servicios como Firebase.
  • Su capacidad para evadir detección, controlar actualizaciones e instalar otros programas maliciosos lo convierte en una de las amenazas más avanzadas para Android en la actualidad.
Joaquin Romero

8 minutos

FireScam Malware Telegram Premium

En los últimos meses, la comunidad de ciberseguridad ha puesto el foco en un nuevo y sofisticado malware que afecta a dispositivos Android: FireScam. Este software malicioso ha sorprendido a expertos y usuarios por su capacidad para camuflarse como la supuesta versión «premium» de Telegram, una de las apps de mensajería más populares del mundo. ¿El objetivo? Robar información personal, financiera y mantener el control del dispositivo comprometido sin que el usuario sospeche nada.

La peligrosidad de FireScam radica en su ingeniería social, la efectividad de sus métodos de distribución y la forma en la que explota la confianza de quienes buscan funciones exclusivas o versiones gratuitas de aplicaciones conocidas. En este artículo te contamos todo lo que debes saber sobre cómo actúa FireScam, técnicas de camuflaje, los riesgos reales y cómo protegerte eficazmente si usas un móvil Android.

¿Qué es FireScam y cómo engaña a los usuarios de Android?

FireScam es un malware que comenzó a detectarse a finales de 2024 y ha ganado notoriedad a principios de 2025 por su capacidad de simular ser la aplicación Telegram Premium. El interés creciente por versiones modificadas o avanzadas de Telegram, sumado a la aparición de tiendas de aplicaciones alternativas en Rusia tras las sanciones occidentales, ha creado el entorno perfecto para este engaño.

SuperCard X malware NFC android
Artículo relacionado:
Nuevo malware para Android que copia tarjetas con NFC

Los ciberdelincuentes han desarrollado páginas web fraudulentas que imitan a la perfección plataformas como RuStore (mercado alternativo ruso de apps) y el propio sitio de Telegram. Estas páginas están alojadas en dominios de confianza como GitHub.io, lo que incrementa la sensación de legitimidad y hace bajar la guardia a cualquier usuario poco precavido.

El gancho es irresistible: una supuesta versión «premium» gratuita de Telegram, con funciones exclusivas y sin anuncios. Los atacantes incitan a descargar un archivo APK llamado GetAppsRu.apk. Sin embargo, lejos de obtener una mejora de la aplicación, el usuario instala un dropper (programa que entrega la carga maliciosa principal) que inicia una cadena de acciones orientadas al robo de datos y al control continuo del dispositivo.

que es FireScam malware

Fases de la infección: desde el dropper hasta el control total

La infección por FireScam no es fruto del azar; los desarrolladores han diseñado un proceso de varias etapas que dificulta la detección por antivirus y expertos en seguridad.

  • Acceso inicial: El usuario descarga el APK desde una página que imita a RuStore o Telegram Premium, creyendo que se trata de una fuente segura.
  • Instalación del dropper: El APK funciona como un dropper o «vehículo», entregando la carga útil principal tras solicitar permisos muy amplios (acceso a notificaciones, almacenamiento, instalación/actualización/borrado de apps, registros de llamadas y mensajes, etcétera).
  • Persistencia y control: El dropper se designa a sí mismo como propietario de las actualizaciones, utilizando el permiso ENFORCE_UPDATE_OWNERSHIP de Android. Así impide que el usuario actualice la app de otras fuentes, garantizando que la versión maliciosa sea permanente salvo intervención manual avanzada.
  • Conexión con la nube: A través de Firebase Realtime Database y canales WebSocket, el malware comienza a transferir datos en tiempo real a los servidores de los atacantes y puede recibir comandos remotos (actualizaciones, descargas adicionales de malware, instrucciones de espionaje, etc.).

Qué información roba FireScam y cómo la utiliza

Una vez instalado, FireScam lleva a cabo una vigilancia constante sobre casi todas las áreas sensibles del dispositivo. Entre los datos a los que accede y roba destacan:

  • Notificaciones de apps: lee y copia el contenido de notificaciones, incluidas de apps de mensajería, correo y bancos.
  • Mensajes SMS: intercepta mensajes de texto, códigos de verificación, comunicaciones privadas y más.
  • Registros de llamadas y contactos: visualiza listas de contactos, números de teléfono y toda la actividad de llamadas entrantes y salientes.
  • Datos del portapapeles: accede a información copiada y pegada, desde contraseñas hasta fragmentos de datos bancarios o información sensible de otras aplicaciones.
  • Actividad de aplicaciones: sabe qué apps están abiertas en cada momento, monitoriza el uso y los cambios de estado de la pantalla (encendido/apagado, bloqueos, desbloqueos). Incluso puede registrar qué aplicación está activa y durante cuánto tiempo, lo que permite a los atacantes afinar sus ataques o espiar hábitos de uso.
  • Transacciones financieras y compras online: recopila detalles sobre pagos, registros de compra, y puede interceptar datos de tarjetas y credenciales bancarias al monitorizar apps y portapapeles relacionadas con banca y pagos.

Una de las características más preocupantes es que, al abrir la supuesta app de Telegram Premium, se presenta una pantalla WebView idéntica a la de inicio de sesión oficial. Si el usuario introduce sus datos, las credenciales son robadas, pero incluso aunque no inicie sesión, el malware comienza de inmediato a exfiltrar datos en segundo plano.

Todos estos datos van a una base de datos en la nube (Firebase) gestionada por los atacantes. Posteriormente, los archivos y registros temporales se filtran y eliminan rápidamente, dificultando la labor de los analistas de seguridad y complicando el rastreo de las operaciones una vez que la víctima es consciente del ataque.

Técnicas de evasión, persistencia y capacidades avanzadas del malware

No estamos ante un malware cualquiera. FireScam se caracteriza por sus avanzadas técnicas de evasión y control, entre las que destacan:

  • Ofuscación del código y antianálisis: el malware está diseñado para ocultar su funcionamiento a los análisis automáticos y sandboxes, dificultando la vida a los investigadores y a los motores antivirus.
  • Monitoreo en tiempo real y comandos remotos: mantiene el canal de comunicación activo usando Firebase Cloud Messaging (FCM) para recibir instrucciones a distancia, lo que aumenta su peligrosidad si los atacantes deciden descargar más malware o modificar comportamientos según el dispositivo comprometido.
  • Control de actualizaciones legítimas: gracias al permiso especial que asume como «propietario de la actualización», bloquea actualizaciones de otras fuentes que podrían eliminar el malware, asegurándose persistencia prácticamente indefinida salvo borrado completo desde opciones avanzadas.
  • Capacidad para descargar y procesar imágenes desde URLs: esto sugiere potencial para análisis de contenido, esteganografía o implantación de nuevas cargas maliciosas camufladas como imágenes inofensivas.

Adicionalmente, algunas variantes de FireScam pueden registrar el dispositivo en la nube con un identificador único, lo que facilita la gestión de grandes redes de dispositivos infectados y la administración centralizada de campañas de ataque.

Distribución internacional: ¿Sólo afecta a Rusia o tiene alcance global?

Si te preguntas si FireScam es una amenaza únicamente para usuarios rusos, la respuesta es clara: su alcance es global. Aunque la distribución inicial se ha centrado en la imitación de RuStore (plataforma rusa surgida tras la salida de Google Play de ese país), los dominios empleados están alojados en servicios ampliamente utilizados como GitHub.io, y las páginas maliciosas pueden ser compartidas vía SMS, malvertising o redes sociales a usuarios de cualquier parte del mundo.

Las campañas de phishing y la ingeniería social no entienden de fronteras. De hecho, la promesa de versiones «premium gratis» o apps mejoradas de Telegram es una tentación global, especialmente entre jóvenes o quienes desean evitar pagos en tiendas oficiales.

El ataque es tan sofisticado que incluso los expertos de Cyfirma reconocen que aún no está claro el método exacto para atraer usuarios a los enlaces maliciosos, aunque sospechan de estrategias variadas: desde mensajes de texto con enlaces engañosos, hasta anuncios en webs de dudosa reputación o mensajes en plataformas de mensajería instantánea.

Protege tu Fire TV y Google TV contra malware: consejos clave
Artículo relacionado:
Guía Exhaustiva para Proteger Fire TV y Google TV del Malware y las Amenazas Online

Recomendaciones y prevención: cómo protegerte de FireScam y malwares similares

La mejor defensa contra FireScam, como contra la mayoría de amenazas para Android, pasa por la prevención y el sentido común. Aquí tienes los consejos y medidas más efectivos:

  • Descarga siempre aplicaciones desde tiendas oficiales: Google Play y App Store son mucho más seguras que cualquier web alternativa, por fiable que parezca. Evita absolutamente instalar APKs de fuentes desconocidas o de dudosa legitimidad.
  • Desconfía de promesas de versiones «premium» o apps gratuitas de pago: Si una app de pago se ofrece gratis por canales no oficiales, lo más seguro es que sea una trampa.
  • Revisa los permisos antes de instalar cualquier aplicación: Si una app solicita acceso a notificaciones, SMS, almacenamiento, contactos o datos bancarios sin motivo razonable, sospecha inmediatamente.
  • Mantén tu sistema operativo y apps actualizadas: Las actualizaciones frecuentes corrigen agujeros de seguridad y reducen el riesgo de infecciones.
  • Utiliza un antivirus confiable y actualizado: Aunque FireScam emplea técnicas para evadir detección, una solución antivirus moderna puede añadir una importante capa de protección.
  • Evita pulsar en enlaces de mensajes no verificados: No accedas a links enviados por SMS, correos o mensajes en redes sociales que prometan aplicaciones o promociones llamativas.
  • Ten un plan de recuperación: Si crees que tu dispositivo ha sido infectado, cambia todas tus contraseñas, desconecta cuentas vinculadas y considera restaurar el teléfono a su estado de fábrica tras copiar sólo los datos imprescindibles.
Android atacado por un malware
Artículo relacionado:
SpyLend: así actúa el malware de extorsión que ataca a usuarios Android

Con esta información podrás saber sobre FireScam y su manera de actuar. Evita estafas y que este malware siga avanzando entre otros dispositivos. Comparte la información y más personas sabrán sobre el tema.