Spyware yang menyamar sebagai versi Telegram yang dimodifikasi telah ditemukan di Google Play Store. Aplikasi palsu ini dibuat untuk mencuri informasi sensitif dari perangkat Android yang terinfeksi.
Menurut peneliti keamanan Kaspersky, Igor Golovin, aplikasi tersebut dilengkapi dengan fitur jahat yang bertujuan mengambil dan mengekstrak data seperti nama, ID pengguna, kontak, nomor telepon, dan pesan obrolan, lalu mengirimkannya ke server yang dikendalikan oleh pelaku.
Penyelidikan ini menyebut aktivitas tersebut sebagai Evil Telegram oleh perusahaan keamanan siber Rusia.
Namun yang lebih mengkhawatirkan, aplikasi palsu ini sudah diunduh oleh jutaan pengguna sebelum akhirnya dihapus dari Play Store oleh Google.
Berikut adalah beberapa nama aplikasi palsu Telegram yang terinfeksi spyware:
1. 電報,紙飛機-TG繁體中文版 atau 電報,小飛機-TG繁體中文版 (org.telegram.messenger.wab) – diunduh lebih dari 10 juta kali.
2. TG繁體中文版-電報,紙飛機 (org.telegram.messenger.wab) – diunduh lebih dari 50.000 kali.
3. 电报,纸飞机-TG简体中文版 (org.telegram.messenger.wob) – diunduh lebih dari 50.000 kali.
4. 电报,纸飞机-TG简体中文版 (org.tgcn.messenger.wob) – diunduh lebih dari 10.000 kali.
5. ئۇيغۇر تىلى TG – تېلېگرامما (org.telegram.messenger.wcb) – diunduh 100 kali.
Harap diingat bahwa nama paket yang terkait dengan Telegram versi Play Store adalah “org.telegram.messenger,” sementara nama paket untuk file APK yang diunduh langsung dari situs web Telegram adalah “org.telegram.messenger.web.”
Dengan demikian, penggunaan “wab,” “wcb,” dan “wob” sebagai nama paket file berbahaya menunjukkan upaya pelaku ancaman untuk memanfaatkan kesalahan ketik guna membuat aplikasi ini terlihat seperti aplikasi Telegram yang sah dan tidak terdeteksi oleh Google.
“Ketika pertama kali dilihat, aplikasi-aplikasi ini tampak identik dengan Telegram dan memiliki antarmuka lokal yang mirip,” kata perusahaan tersebut, seperti yang dikutip dari The Hacker News pada Rabu (13/9/2023).
“Semuanya terlihat dan berfungsi hampir sama dengan versi aslinya. [Namun], terdapat perbedaan kecil yang tidak terdeteksi oleh moderator Google Play: versi yang terinfeksi memiliki modul tambahan,” jelasnya.
Pengungkapan ini terjadi beberapa hari setelah ESET mengungkap kampanye malware BadBazaar yang menargetkan pasar aplikasi resmi dan menggunakan versi Telegram yang jahat untuk mencuri cadangan obrolan.
Sebelumnya, perusahaan keamanan siber Slovakia juga menemukan aplikasi palsu yang meniru Telegram dan WhatsApp pada bulan Maret 2023. Aplikasi tersebut dilengkapi dengan fungsi clipper yang dapat mencuri dan mengubah alamat dompet dalam pesan obrolan, serta mengalihkan transfer mata uang kripto ke dompet milik para peretas.
