Jutaan Orang Terinfeksi Spyware Tersembunyi dalam Aplikasi Telegram Palsu di Google Play

The Hacker News

Cyberthreat.id - Spyware yang menyamar sebagai versi Telegram yang dimodifikasi telah terlihat di Google Play Store yang dirancang untuk mengambil informasi sensitif dari perangkat Android yang disusupi.

Menurut peneliti keamanan Kaspersky Igor Golovin, aplikasi tersebut hadir dengan fitur jahat untuk menangkap dan mengekstrak nama, ID pengguna, kontak, nomor telepon, dan pesan obrolan ke server yang dikendalikan aktor.

The Hacker News menyebutkan, aktivitas tersebut diberi nama sandi Evil Telegram oleh perusahaan keamanan siber Rusia.

Aplikasi-aplikasi tersebut telah diunduh secara kolektif jutaan kali sebelum dihapus oleh Google. Detailnya adalah sebagai berikut:

  • 電報,紙飛機-TG繁體中文版 atau 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) - 10 juta+ unduhan
  • TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) - 50.000+ unduhan
  • 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) - 50.000+ unduhan
  • 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) - 10.000+ unduhan
  • ئۇيغۇر تىلى TG - تېلېگرامما (org.telegram.messenger.wcb) - 100+ unduhan

Aplikasi terakhir dalam daftar diterjemahkan menjadi "Telegram - TG Uyghur," yang menunjukkan upaya yang jelas untuk menargetkan komunitas Uyghur.

Perlu dicatat bahwa nama paket yang terkait dengan Telegram versi Play Store adalah "org.telegram.messenger", sedangkan nama paket untuk file APK yang diunduh langsung dari situs web Telegram adalah "org.telegram.messenger.web".

Karena itu, penggunaan "wab", "wcb", dan "wob" untuk nama paket berbahaya menyoroti ketergantungan pelaku ancaman pada teknik kesalahan ketik agar terlihat sebagai aplikasi Telegram yang sah dan tidak terdeteksi radar.

“Pada pandangan pertama, aplikasi-aplikasi ini tampak seperti klon Telegram lengkap dengan antarmuka yang dilokalkan,” kata perusahaan itu. "Semuanya terlihat dan berfungsi hampir sama dengan aslinya. [Tetapi] ada perbedaan kecil yang luput dari perhatian moderator Google Play: versi yang terinfeksi memiliki modul tambahan:"

Pengungkapan ini terjadi beberapa hari setelah ESET mengungkapkan kampanye malware BadBazaar yang menargetkan pasar aplikasi resmi yang memanfaatkan versi jahat Telegram untuk mengumpulkan cadangan obrolan.

Aplikasi peniru Telegram dan WhatsApp serupa ditemukan oleh perusahaan keamanan siber Slovakia sebelumnya pada bulan Maret 2023 yang dilengkapi dengan fungsi clipper untuk mencegat dan mengubah alamat dompet dalam pesan obrolan dan mengarahkan transfer mata uang kripto ke dompet milik penyerang.[]