Menurut Tabnak, pakar keamanan siber telah mengumumkan deteksi malware baru yang menampilkan dirinya sebagai aplikasi Telegram versi premium dan berupaya mencuri informasi pengguna.
Peneliti dari perusahaan keamanan CyFirma baru-baru ini menemukan bahwa aplikasi Android memalsukan dirinya sebagai Telegram Premium dan mencuri informasi sensitif pengguna. Malware ini menggunakan metode untuk mengelabui pengguna dan mencuri informasi login.
Meskipun malware ini memperkenalkan dirinya sebagai Telegram versi premium, sebenarnya malware ini dirancang untuk mencuri informasi sensitif pengguna. Aplikasi Android yang pertama kali terdeteksi oleh Cypherma ini saat ini menjadi ancaman besar bagi keamanan pengguna.
Para peneliti menjelaskan bahwa pada tahun 2022, dengan dimulainya konflik Rusia-Ukraina, negara-negara Barat menjatuhkan sanksi terhadap rezim Putin. Sanksi ini mencegah pengguna Rusia mengakses Google Play dan Apple App Store. Dalam hal ini, Kementerian Pengembangan Digital Rusia bersama dengan VK (salah satu jejaring sosial terbesar Rusia) meluncurkan pasar aplikasi RuStore bagi pengguna untuk mengakses aplikasi.
Cypherma kini telah mengumumkan bahwa situs web phishing yang mirip dengan desain RuStore telah dibuat di GitHub. Pengguna yang memasuki situs web ini menerima aplikasi bernama GetAppsRu.apk, yang mampu menampilkan daftar aplikasi yang diinstal pada perangkat dan mengakses memori perangkat. Aplikasi kemudian menginstal paket tambahan.
Salah satu paket tersebut adalah malware asli bernama Telegram Premium.apk, juga dikenal sebagai FireScam. Setelah terinstal, malware ini membuat permintaan untuk mengakses notifikasi pengguna, data clipboard, pesan teks, dan informasi lainnya. Selain itu, malware ini menampilkan halaman login Telegram palsu untuk mencuri informasi login pengguna.
Selain mencuri informasi login, FireScam memantau berbagai aktivitas pengguna dan mencatat berbagai informasi termasuk clipboard, transaksi e-commerce, dan item sensitif lainnya. Kemudian data ini dikirim ke server pihak ketiga dan setelah disaring, ditransfer ke tujuan lain. Informasi yang tidak berharga juga dihapus dari sistem.
Dalam penjelasannya, Cyfarma menyatakan bahwa tidak ada hubungan antara malware ini dan faktor ancaman yang diketahui, namun menggambarkannya sebagai ancaman yang kompleks dan memiliki banyak segi. Saat ini belum ada informasi berapa jumlah calon korban malware ini. Pakar keamanan telah menyarankan pengguna untuk berhati-hati saat membuka file dari sumber yang tidak tepercaya atau mengklik tautan yang mencurigakan.
