Sebuah malware pencuri informasi Android bernama Penipuan Kebakaran telah ditemukan menyamar sebagai versi premium dari aplikasi perpesanan Telegram untuk mencuri data dan mempertahankan kendali jarak jauh atas perangkat yang disusupi.
“Menyamar sebagai aplikasi 'Telegram Premium' palsu, aplikasi ini didistribusikan melalui situs phishing yang dihosting GitHub.io dan menyamar sebagai RuStore – toko aplikasi populer di Federasi Rusia,” kata Cyfirma, menggambarkannya sebagai “ancaman yang canggih dan beragam. “
“Malware ini menggunakan proses infeksi multi-tahap, dimulai dengan APK dropper, dan melakukan aktivitas pengawasan ekstensif setelah diinstal.”
Situs phishing yang dimaksud adalah rustore-apk.github[.]io, meniru RuStore, toko aplikasi yang diluncurkan oleh raksasa teknologi Rusia VK di negara tersebut, dan dirancang untuk mengirimkan file APK dropper (“GetAppsRu.apk”).
Setelah diinstal, dropper bertindak sebagai sarana pengiriman payload utama, yang bertanggung jawab untuk mengekstraksi data sensitif, termasuk notifikasi, pesan, dan data aplikasi lainnya, ke endpoint Firebase Realtime Database.
Aplikasi dropper meminta beberapa izin, termasuk kemampuan untuk menulis ke penyimpanan eksternal dan menginstal, memperbarui, atau menghapus aplikasi sewenang-wenang pada perangkat Android yang terinfeksi yang menjalankan Android 8 dan lebih baru.
“Izin ENFORCE_UPDATE_OWNERSHIP membatasi pembaruan aplikasi kepada pemilik yang ditunjuk oleh aplikasi tersebut. Penginstal awal suatu aplikasi dapat mendeklarasikan dirinya sebagai 'pemilik pembaruan', sehingga mengontrol pembaruan pada aplikasi tersebut,” kata Cyfirma.
“Mekanisme ini memastikan bahwa upaya pembaruan oleh penginstal lain memerlukan persetujuan pengguna sebelum melanjutkan. Dengan menunjuk dirinya sebagai pemilik pembaruan, aplikasi jahat dapat mencegah pembaruan sah dari sumber lain, sehingga mempertahankan persistensinya di perangkat.”
FireScam menggunakan berbagai teknik kebingungan dan anti-analisis untuk menghindari deteksi. Itu juga mengawasi notifikasi yang masuk, perubahan status layar, transaksi e-commerce, konten clipboard, dan aktivitas pengguna untuk mengumpulkan informasi yang menarik. Fungsi penting lainnya adalah kemampuannya mengunduh dan memproses data gambar dari URL tertentu.
Aplikasi Telegram Premium nakal, ketika diluncurkan, selanjutnya meminta izin pengguna untuk mengakses daftar kontak, log panggilan, dan pesan SMS, setelah itu halaman login untuk situs web Telegram yang sah ditampilkan melalui WebView untuk mencuri kredensial. Proses pengumpulan data dimulai terlepas dari apakah korban login atau tidak.
Terakhir, malware ini mendaftarkan layanan untuk menerima notifikasi Firebase Cloud Messaging (FCM), yang memungkinkannya menerima perintah jarak jauh dan mempertahankan akses rahasia – sebuah tanda kemampuan pemantauan malware yang luas. Malware ini juga secara bersamaan membuat koneksi WebSocket dengan server perintah dan kontrol (C2) untuk eksfiltrasi data dan aktivitas lanjutan.
Cyfirma mengatakan domain phishing juga menampung artefak berbahaya lainnya bernama CDEK, yang kemungkinan merujuk pada layanan pelacakan paket dan pengiriman yang berbasis di Rusia. Namun, perusahaan keamanan siber mengatakan mereka tidak dapat memperoleh artefak tersebut pada saat analisis.
Saat ini belum jelas siapa operatornya, atau bagaimana pengguna diarahkan ke tautan ini, dan apakah ini melibatkan SMS phishing atau teknik malvertising.
“Dengan meniru platform sah seperti toko aplikasi RuStore, situs web jahat ini mengeksploitasi kepercayaan pengguna untuk menipu individu agar mengunduh dan menginstal aplikasi palsu,” kata Cyfirma.
“FireScam melakukan aktivitas jahatnya, termasuk eksfiltrasi dan pengawasan data, yang semakin menunjukkan efektivitas metode distribusi berbasis phishing dalam menginfeksi perangkat dan menghindari deteksi.”
