Credit image: Pixabay
Beberapa klon Telegram berbahaya untuk Android di Google Play dipasang lebih dari 60.000 kali, menginfeksi orang dengan spyware yang mencuri pesan pengguna, daftar kontak, dan data lainnya. Ini disebut trojanisasi Telegram
Aplikasi-aplikasi tersebut tampaknya dirancang untuk pengguna berbahasa Mandarin dan etnis minoritas Uighur, yang menunjukkan kemungkinan adanya hubungan dengan mekanisme pemantauan dan penindasan negara yang terdokumentasi dengan baik.
Aplikasi tersebut ditemukan oleh Kaspersky, yang melaporkannya ke Google. Namun, pada saat para peneliti mempublikasikan laporan mereka, beberapa aplikasi berbahaya masih tersedia untuk diunduh melalui Google Play.
|
Baca juga: Trojan Berbahaya Aplikasi iRecorder |
Trojanisasi Telegram
Aplikasi Telegram yang disajikan dalam laporan Kaspersky dipromosikan sebagai alternatif yang “lebih cepat” dibandingkan aplikasi biasa.
Contoh yang ditampilkan dalam laporan memiliki lebih dari 60.000 pemasangan, sehingga kampanye ini cukup berhasil dalam mencapai sejumlah target potensial.
Analis keamanan melaporkan bahwa aplikasi tersebut tampaknya sama dengan Telegram asli tetapi mengandung fungsi tambahan dalam kode untuk mencuri data.
Secara khusus, ada paket tambahan bernama ‘com. wsys’ yang mengakses kontak pengguna untuk:
- Mengumpulkan nama pengguna.
- ID pengguna.
- Nomor telepon korban.
Ketika pengguna menerima pesan melalui aplikasi trojan, spyware mengirimkan salinan langsung ke server perintah dan kontrol (C2) operator di “sg[.]telegrnm[.]org”
Data yang dieksfiltrasi, yang dienkripsi sebelum dikirim, berisi isi pesan, judul dan ID obrolan/saluran, serta nama dan ID pengirim.
Aplikasi spyware juga memantau aplikasi yang terinfeksi untuk mengetahui perubahan pada nama pengguna dan ID korban serta perubahan pada daftar kontak, dan jika ada perubahan, mengumpulkan informasi terbaru.
Perlu dicatat bahwa aplikasi Evil Telegram yang berbahaya menggunakan nama paket ‘org.telegram.messenger.wab’ dan ‘org.telegram.messenger.wob’, sedangkan aplikasi Telegram yang sah memiliki nama paket ‘org.telegram.messenger .web.’
Dalam pernyataannya Google telah menghapus aplikasi Android ini dari Google Play dan pengembangnya telah diblokir.
|
Baca juga: Penyusup Itu bernama Trojan Horse |
Bahaya Modifikasi Aplikasi Perpesanan
Akhir bulan lalu, ESET memperingatkan tentang dua aplikasi perpesanan trojan, Signal Plus Messenger dan FlyGram, yang dipromosikan sebagai versi yang lebih kaya fitur dari aplikasi open-source Signal dan Telegram yang populer.
Sekarang dihapus dari Google Play dan Samsung Galaxy Store, aplikasi tersebut berisi malware BadBazaar yang memungkinkan operatornya, APT ‘GREF’ Tiongkok, untuk memata-matai target mereka.
Awal tahun ini, ESET menemukan dua lusin situs tiruan Telegram dan WhatsApp yang mendistribusikan versi aplikasi perpesanan populer yang telah di-trojan, juga menargetkan pengguna berbahasa Mandarin.
Pengguna disarankan untuk menggunakan aplikasi perpesanan versi asli dan menghindari mengunduh aplikasi bercabang yang menjanjikan peningkatan privasi, kecepatan, atau fitur lainnya.
Google tidak dapat menghentikan unggahan berbahaya ini terutama karena penerbit memasukkan kode berbahaya melalui pembaruan pasca-penyaringan dan pasca-instalasi.
Pada bulan Juli, raksasa teknologi ini meluncurkan strategi untuk menerapkan sistem verifikasi bisnis di Google Play Store mulai tanggal 31 Agustus 2023, yang bertujuan untuk meningkatkan keamanan bagi pengguna Android.
Sumber berita:
