Pelaku ancaman memanfaatkan popularitas besar permainan Hamster Kombat, menargetkan pemain dengan perangkat lunak Android dan Windows palsu yang memasang spyware dan malware pencuri informasi.
Hamster Kombat adalah permainan klik seluler untuk Android di mana pemain memperoleh mata uang fiktif dengan menyelesaikan tugas sederhana, terutama dengan mengetuk layar.
Diluncurkan pada Maret 2024, permainan ini telah menarik minat yang signifikan karena potensi untuk mendapatkan token kripto berbasis TON baru yang terkait dengannya, yang dijadwalkan untuk diperkenalkan akhir tahun ini.
Hamster Kombat berbasis Telegram, yang mengharuskan pemain untuk bergabung dengan salurannya di Telegram, memindai kode QR yang disediakan oleh bot, dan kemudian meluncurkan aplikasi web di perangkat Android mereka untuk memainkannya.
Permainan ini telah mengalami pertumbuhan besar sejak peluncurannya, dengan lebih dari 250 juta pemain dan 53 juta pengguna di saluran Telegramnya.
Sumber: BleepingComputer
Menargetkan “hamster”
Meskipun ada aplikasi klon di Google Play bernama ‘Hamster Kombat – Dapatkan Crypto,’ proyek asli tidak tersedia di saluran resmi mana pun selain Telegram, membuat mereka yang tertarik bergabung menjadi mangsa empuk bagi penjahat dunia maya dan penipu.
ESET telah menemukan banyak kasus di mana pelaku ancaman menggunakan permainan Hamster Kombat sebagai umpan, bahkan meluas ke platform lain di luar Android, seperti Windows.
Risiko pertama terletak di Telegram, tempat berbagai saluran bermerek Hamster mendistribusikan malware Android kepada pengguna yang mencari saluran resmi.
ESET menyoroti saluran bernama ‘HAMSTER EASY’ yang mendistribusikan spyware Ratel Android sebagai berkas APK (‘Hamster.apk’) yang tidak mengandung fungsionalitas sah apa pun.
Sumber: ESET
Ratel dapat menyadap SMS dan notifikasi perangkat, tetapi terutama digunakan untuk mendaftarkan korban ke layanan premium, yang mana operator malware mendapat bagian.
Malware tersebut menyembunyikan notifikasi dari 200 aplikasi, sehingga korban tidak pernah menyadari bahwa mereka telah berlangganan berbagai layanan premium.
Kampanye jahat lainnya menggunakan situs web palsu seperti ‘hamsterkombat-ua.pro’ dan ‘hamsterkombat-win.pro’ yang mengklaim menawarkan permainan tetapi malah mengarahkan pengunjung ke iklan sehingga mereka dapat menghasilkan uang.
Sumber: ESET
ESET mencatat bahwa penipuan bermerek Hamster Kombat juga menargetkan pengguna Windows, dengan Lumma Stealer didistribusikan melalui repositori GitHub jahat yang mengklaim menawarkan bot pertanian untuk permainan mata uang kripto.
“Repositori GitHub yang kami temukan memiliki malware yang tersedia langsung di file rilis, atau berisi tautan untuk mengunduhnya dari layanan berbagi file eksternal,” membaca laporan ESET.
“Kami mengidentifikasi tiga versi kriptor Lumma Stealer yang bersembunyi dalam repositori: aplikasi C++, aplikasi Go, dan aplikasi Python.”
Dari ketiganya, versi Python dipersiapkan dengan lebih cermat, bahkan menampilkan penginstal grafis untuk memperlancar penipuan hingga akhir proses instalasi malware.
Sumber: ESET
Catatan peringatan
Jika Anda tertarik dengan proyek Hamster Kombat, Anda harus mendapatkannya langsung dari saluran resmi di Telegram atau kunjungi situs web proyek.
Akan tetapi, perlu dicatat bahwa bahkan game asli itu sendiri belum diteliti keamanannya, karena tidak ada di Google Play atau App Store. Whitepaper proyek tersebut belum diterbitkan, dan janji peluncuran token masih belum terpenuhi.
Perlu juga dicatat bahwa aplikasi klon di Google Play memiliki beberapa laporan yang mengklaim bahwa aplikasi tersebut menipu pengguna dengan meminta biaya penarikan dan tidak pernah melakukan penarikan uang.
Orang-orang seharusnya memperlakukan aplikasi peniru Hamster Kombat yang didistribusikan melalui platform atau metode apa pun dengan rasa curiga, karena meskipun tidak semuanya mengandung malware, aplikasi tersebut hampir pasti merupakan penipuan.
Decrypt.co memiliki menyusun sebuah daftar proyek permainan mata uang kripto yang meluncurkan token pada tahun 2024 dan yang memiliki sistem fungsional, jadi jika Anda tertarik dengan konsep ini, Anda mungkin ingin mempertimbangkan untuk menginvestasikan waktu Anda pada proyek tersebut.
