Jakarta, CNN Indonesia —
Malware Android baru bernama FireScam beredar sebagai versi premium dari aplikasi Telegram. Malware ini dapat mencuri informasi pribadi pengguna, yang menyebabkan berakhirnya masa berlaku akun mereka.
Aplikasi tersebut didistribusikan di GitHub oleh situs web phishing yang mewakili RuStore, pasar aplikasi Rusia untuk perangkat seluler.
RuStore sendiri diluncurkan oleh konglomerat internet Rusia VK (VKontakte) pada Mei 2022 sebagai alternatif Google Play dan App Store milik Apple, setelah sanksi Barat memengaruhi akses pengguna Rusia ke perangkat lunak seluler.
RuStore adalah rumah bagi aplikasi yang mematuhi peraturan Rusia dan dibuat bekerja sama dengan Kementerian Pengembangan Digital Rusia.
Fitur Penipuan Api
Setelah dijalankan, layar WebView yang menampilkan halaman login Telegram palsu akan mencuri kredensial pengguna.
Menurut Bleeping Computer, FireScam terhubung ke database Firebase real-time di mana ia mengunggah data yang dicuri secara real-time dan mendaftarkan perangkat yang disusupi dengan pengidentifikasi unik, untuk tujuan pelacakan.
Perusahaan keamanan siber SyFirma melaporkan bahwa data yang dicuri hanya disimpan dalam database untuk jangka waktu singkat dan kemudian dihapus, mungkin setelah ancaman dipindai untuk mendapatkan informasi berharga dan dipindahkan ke lokasi lain
Malware ini juga membuka koneksi websocket persisten ke endpoint Firebase C2 untuk menjalankan perintah secara real-time, seperti meminta data tertentu, mengunggah langsung ke database Firebase, mengunduh dan mengeksekusi payload tambahan, atau menyesuaikan parameter pemantauan yang harus dilakukan
FireScam dikatakan mampu melacak perubahan aktivitas layar, mencatat peristiwa penyalaan/penonaktifan, dan mencatat aplikasi yang aktif pada saat itu, serta mencatat data aktivitas untuk peristiwa yang berlangsung lebih dari 1.000 milidetik
Malware ini juga memantau dengan cermat setiap transaksi e-commerce, mencoba menangkap data keuangan sensitif.
Dengan kata lain, semua yang diketik, diseret, disalin ke clipboard, dan disadap oleh pengguna, bahkan data yang diisi secara otomatis dari pengelola kata sandi atau dipertukarkan antar aplikasi, dapat disadap oleh penjahat dunia maya.
Meskipun Cifirma tidak memiliki indikasi siapa operator FireScam, para peneliti mengatakan malware tersebut adalah “ancaman yang canggih dan beragam” yang “menggunakan teknik penghindaran yang canggih.”
Oleh karena itu, Cifirma menyarankan agar pengguna berhati-hati saat membuka file dari sumber yang mungkin tidak dapat dipercaya atau mengklik link yang tidak dikenal. (Lum/Mikrofon)
