Penipuan melalui internet yang menggunakan Android Package Kit (APK) semakin marak untuk membobol HP Android.
Malware Android baru bernama "FireScam" baru-baru ini didistribusikan sebagai versi premium aplikasi Telegram melalui situs web phishing di GitHub, yang meniru pasar aplikasi perangkat seluler Rusia RuStore.
Setelah sanksi AS yang menghambat akses pengguna Rusia ke aplikasi HP, kelompok VK Rusia (VKontakte) meluncurkan RuStore pada Mei 2022 sebagai alternatif untuk Google Play Store dan App Store Apple.
Aplikasi yang dibuat dengan dukungan Kementerian Pengembangan Digital Rusia dan mematuhi hukum Rusia tersedia di RuStore.
Peneliti di Cyfirma, perusahaan manajemen ancaman siber, mengatakan bahwa halaman GitHub berbahaya yang meniru RuStore mengirimkan modul dropper yang disebut GetAppsRu.apk pertama.
DexGuard membantu menyamararkan APK dropper agar software berbahaya tidak ditemukan. Penjahat siber dapat mengakses penyimpanan perangkat dan menginstal paket tambahan dengan cara ini.
Selanjutnya, APK berbahaya itu mengekstrak dan menginstal muatan malware utama yang dikenal sebagai "Telegram Premium.apk". Muatan ini meminta izin untuk memantau notifikasi, data clipboard, SMS, dan layanan telepon.
Kemampuan FireScam
Setelah dimulai, layar WebView palsu menunjukkan halaman login Telegram dan mengambil data pengguna untuk layanan perpesanan.
FireScam berhubungan dengan Firebase Realtime Database, yang kemudian mengunggah data yang dicuri secara real-time dan mengidentifikasi perangkat yang disusupi untuk pelacakan.
Menurut firma, data yang dicuri hanya disimpan dalam database untuk sementara dan kemudian dihapus. Ini mungkin terjadi setelah pelaku ancaman memfilter database untuk mengambil informasi penting dan menyalinnya ke tempat lain.
Selain itu, malware ini memungkinkan koneksi WebSocket yang terus-menerus dengan titik akhir Firebase C2, yang memungkinkan perintah seperti meminta informasi tertentu, memicu upload langsung ke database Firebase, mendownload dan menjalankan payload tambahan, atau mengubah parameter pengawasan.
Selain itu, FireScam memiliki kemampuan untuk mengawasi perubahan aktivitas layar, menangkap peristiwa hidup atau mati, dan mencatat data aktivitas untuk peristiwa yang berlangsung lebih dari 1.000 milidetik.
Malware ini juga dengan cermat mengawasi setiap transaksi e-commerce dan berusaha menangkap data keuangan sensitif, sehingga saldo rekening korban dapat diubah.
Source : www.cnbcindonesia.com