Bahaya FireScam: Malware Android yang Mengincar Data Pribadi dan Keuangan Anda

Penipuan online menggunakan Android Package Kit (APK) semakin meningkat dengan berbagai modus operandi yang digunakan oleh para pelaku kejahatan cyber. Salah satu contohnya adalah penyebaran malware terbaru bernama 'FireScam' melalui aplikasi premium palsu Telegram melalui situs web phishing di GitHub yang mengaku sebagai RuStore, sebuah pasar aplikasi Rusia untuk perangkat seluler.

RuStore sendiri diluncurkan pada Mei 2022 oleh kelompok Rusia VK (VKontakte) sebagai alternatif dari Google Play Store dan App Store Apple, sebagai respons terhadap sanksi yang diberlakukan oleh Amerika Serikat (AS) yang memengaruhi akses pengguna Rusia ke aplikasi smartphone. Situs ini menampung aplikasi yang mematuhi peraturan Rusia dan didukung oleh Kementerian Pengembangan Digital Rusia.

Menurut peneliti di perusahaan manajemen ancaman siber Cyfirma, halaman GitHub berbahaya yang meniru RuStore, pertama-tama mengirimkan modul dropper yang disebut GetAppsRu.apk. APK dropper ini menggunakan teknologi DexGuard untuk menghindari deteksi oleh software berbahaya. Dengan teknik ini, para pelaku kejahatan cyber dapat memperoleh akses ke penyimpanan perangkat, serta menginstal paket tambahan.

Setelah itu, APK berbahaya tersebut akan mengekstrak dan menginstal muatan malware utama, yaitu 'Telegram Premium.apk', yang meminta izin akses untuk memantau notifikasi, data clipboard, SMS, dan layanan telepon. Setelah dijalankan, layar WebView tipuan yang menampilkan halaman login Telegram, yang bertujuan untuk mencuri kredensial pengguna untuk layanan perpesanan tersebut.

Selain itu, FireScam juga menjalin komunikasi dengan Firebase Realtime Database untuk mengunggah data yang telah dicuri secara real-time, serta mendaftarkan perangkat yang disusupi dengan pengidentifikasi unik, untuk tujuan pelacakan. Data yang dicuri hanya disimpan dalam database sementara dan kemudian dihapus, kemungkinan setelah para pelaku ancaman memfilternya untuk mendapatkan informasi berharga dan menyalinnya ke lokasi lain.

Selanjutnya, FireScam membuka koneksi WebSocket yang persisten dengan titik akhir Firebase C2 untuk eksekusi perintah secara real-time seperti meminta data tertentu, memicu upload langsung ke database Firebase, mendownload dan mengeksekusi payload tambahan, atau menyesuaikan parameter pengawasan. Selain itu, FireScam juga dapat memantau perubahan aktivitas layar, menangkap peristiwa hidup/mati, mencatat aplikasi aktif pada saat itu serta data aktivitas untuk peristiwa yang berlangsung lebih dari 1.000 milidetik.

Hal ini sangat mengkhawatirkan karena FireScam juga dapat memantau setiap transaksi e-commerce dan berupaya menangkap data keuangan sensitif, yang tentunya dapat berdampak pada pengurasan saldo rekening korban. Bahkan, data yang diketik pengguna di perangkat Android bisa disadap, bahkan data secara otomatis diisi dari pengelola kata sandi atau pertukaran antar aplikasi, dikategorikan, dan diekstraksi ke para pelaku kejahatan cyber.

Meskipun belum ada petunjuk yang mengarah kepada operator FireScam, jelas bahwa malware tersebut merupakan sebuah "ancaman canggih dan beragam" yang "menggunakan teknik penghindaran tingkat lanjut." Cyfirma juga memberikan saran kepada pengguna untuk berhati-hati saat membuka file dari sumber yang mungkin tidak terpercaya atau saat mengeklik tautanasing.