Malware pencuri informasi Android bernama FireScam ditemukan menyamar sebagai versi premium dari aplikasi pesan Telegram. Malware ini bertujuan mencuri data dan mempertahankan kendali jarak jauh secara persisten pada perangkat yang terinfeksi.
“FireScam menyamar sebagai aplikasi ‘Telegram Premium’ palsu dan didistribusikan melalui situs phishing yang dihosting di GitHub.io, yang meniru RuStore, sebuah toko aplikasi populer di Federasi Rusia,” kata Cyfirma, menggambarkannya sebagai ancaman yang “canggih dan multifaset.”
“Malware ini menggunakan proses infeksi bertahap, dimulai dengan dropper APK, dan melakukan pengawasan ekstensif setelah terinstal.”
Situs Phishing Meniru RuStore
Situs phishing yang digunakan, rustore-apk.github[.]io, meniru RuStore, toko aplikasi yang diluncurkan oleh raksasa teknologi Rusia, VK. Situs ini dirancang untuk mengunduh file dropper APK bernama “GetAppsRu.apk.”
Setelah terinstal, dropper berfungsi sebagai pengantar muatan utama malware yang bertugas mengekstrak data sensitif seperti notifikasi, pesan, dan data aplikasi lainnya ke endpoint Firebase Realtime Database.
Izin dan Mekanisme Persistensi
Aplikasi dropper meminta berbagai izin, termasuk:
- Kemampuan menulis ke penyimpanan eksternal.
- Instalasi, pembaruan, atau penghapusan aplikasi secara sembarangan pada perangkat Android versi 8 ke atas.
“Izin ENFORCE_UPDATE_OWNERSHIP membatasi pembaruan aplikasi hanya pada pemilik yang ditentukan. Penginstal awal aplikasi dapat menetapkan dirinya sebagai ‘update owner’, sehingga mengendalikan pembaruan aplikasi,” jelas Cyfirma.
“Melalui mekanisme ini, aplikasi berbahaya dapat mencegah pembaruan yang sah dari sumber lain, sehingga mempertahankan keberadaannya di perangkat.”
Aktivitas Pengawasan dan Teknik Anti-Analisis
FireScam menggunakan berbagai teknik pengaburan dan anti-analisis untuk menghindari deteksi. Malware ini memantau:
- Notifikasi yang masuk.
- Perubahan status layar.
- Transaksi e-commerce.
- Konten clipboard.
- Aktivitas pengguna untuk mengumpulkan informasi yang menarik.
Fungsi lain yang mencolok adalah kemampuannya mengunduh dan memproses data gambar dari URL yang ditentukan.
Aplikasi Palsu Telegram Premium
Setelah dijalankan, aplikasi Telegram Premium palsu meminta izin untuk mengakses daftar kontak, riwayat panggilan, dan pesan SMS pengguna. Kemudian, aplikasi ini menampilkan halaman login Telegram asli melalui WebView untuk mencuri kredensial pengguna. Proses pengumpulan data dimulai terlepas dari apakah korban melakukan login atau tidak.
Selain itu, aplikasi ini mendaftarkan layanan untuk menerima notifikasi melalui Firebase Cloud Messaging (FCM), memungkinkan malware menerima perintah jarak jauh dan mempertahankan akses tersembunyi. Malware ini juga membuat koneksi WebSocket dengan server command-and-control (C2) untuk eksfiltrasi data dan aktivitas lanjutan lainnya.
Kaitan dengan Artefak Berbahaya Lain
Cyfirma menemukan bahwa domain phishing ini juga menjadi host untuk artefak berbahaya lain bernama CDEK, yang kemungkinan merujuk pada layanan pelacakan paket dan pengiriman berbasis di Rusia. Namun, artefak ini belum dapat dianalisis oleh perusahaan keamanan siber tersebut.
Distribusi dan Eksploitasi Kepercayaan Pengguna
Hingga saat ini, tidak jelas siapa operator malware ini atau bagaimana pengguna diarahkan ke tautan phishing tersebut. Distribusi mungkin melibatkan teknik SMS phishing atau malvertising.
“Dengan meniru platform sah seperti toko aplikasi RuStore, situs web berbahaya ini mengeksploitasi kepercayaan pengguna untuk mengelabui mereka agar mengunduh dan menginstal aplikasi palsu,” tambah Cyfirma.
“FireScam menjalankan aktivitas jahat seperti eksfiltrasi data dan pengawasan, memperlihatkan betapa efektifnya metode distribusi berbasis phishing dalam menginfeksi perangkat dan menghindari deteksi.”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
FireScam Android Malware Poses as Telegram Premium to Steal Data and Control Devices, The Hacker News.
Baca Juga : Pengembang LockBit Rostislav Panev Didakwa atas Kerusakan Ransomware Bernilai Miliar Dolar Secara Global
