matthewgenovesesongstudies.com, Jakarta: Pengguna Android harus lebih berhati-hati dengan semakin banyaknya beredar aplikasi berbahaya yang mampu menipu sistem keamanan Google Play Store.
Karena diunduh dari toko aplikasi resmi Google, wajar jika banyak pengguna yang menganggap aplikasi yang diunduh aman dari malware. Faktanya, mereka tanpa sadar menjadi korban kejahatan siber.
Hal tersebut terungkap melalui laporan dari tim keamanan siber Zscaler, ThreatLabz. Menurut laporan mereka, hingga Kamis (30/5/2024), terdapat lebih dari 90 aplikasi Android berbahaya di Google Play Store.
Yang mengejutkan, total unduhan 90 aplikasi Android berbahaya telah diunduh lebih dari 5,5 juta kali di Play Store, Google App Store, dan desktop pengguna ponsel atau tablet Android.
Dalam laporan Zscaler ThreatLabz, mereka menemukan peningkatan aktivitas Trojan perbankan yang disebut Anatsa. Juga dikenal sebagai Teabot, Trojan ini menargetkan lebih dari 650 lembaga keuangan di seluruh dunia.
Trojan ini mampu mencuri informasi perbankan dan digunakan untuk melakukan transaksi penipuan tanpa sepengetahuan korbannya.
Menyamar sebagai aplikasi resmi di Play Store, Trojan ini dikatakan telah menginfeksi 150.000 perangkat hanya dalam beberapa bulan antara akhir tahun 2023 hingga Februari 2024.
Zscaler ThreatLabz, “Malware Anatsa menyamar sebagai aplikasi ‘Pembaca PDF & Manajer File’ dan ‘Pembaca QR & Manajer File’ untuk mengelabui korban.”
Saat ini kedua aplikasi tersebut telah dihapus dari Play Store setelah diunduh sebanyak 70 ribu kali sebelumnya. Jadi bagaimana penjahat dunia maya di balik malware ini bisa menipu sistem keamanan Play Store?
Penjahat dikatakan telah menggunakan beberapa langkah untuk menghindari deteksi keamanan Google. Dengan kemampuan ini, sistem keamanan sulit dideteksi.
Selain malware Anatsa, tim peneliti keamanan memiliki lebih dari 90 aplikasi yang mendistribusikan berbagai malware terkenal seperti Joker, FaceStealer, Copper dan Adware.
Sayangnya, peneliti tidak menyebutkan nama-nama aplikasi berbahaya yang mereka temukan di Play Store. Namun, mereka mengatakan malware tersebut dapat menyamar sebagai produktivitas, fotografi, kesehatan, dan aplikasi lainnya.
Malware menunjukkan bahwa halaman pembaruan Google Play palsu ini mendukung berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris.
Dengan dukungan multi-bahasa, ini berarti penjahat membuat malware penangkal yang menargetkan berbagai pengguna dan negara di seluruh dunia.
Bagaimana cara penawar ini mencuri data pengguna? Mengutip laporan Cyble dari DarkReading pada Rabu (22/5/2024), malware ini menggunakan dua teknik, yakni serangan overlay dan keylogging.
Apa itu Serangan overlay membuat layar palsu mirip dengan halaman aplikasi Google Play asli dan mengelabui pengguna agar memasukkan informasi login mereka.
Sementara itu, kunci tersebut secara diam-diam mencatat setiap penekanan tombol yang ditekan oleh korban pada keyboard, sehingga malware dapat mencuri data, termasuk kata sandi dan lainnya.
Yang lebih parah lagi, malware penangkal ini bisa bekerja karena memberikan akses ‘aksesibilitas’ kepada korbannya tanpa sepengetahuan mereka, kata peneliti Sybil, Rupali Parate.
Dengan akses ini, penjahat dapat menyalahgunakan izin “Aksesibilitas” untuk terhubung ke server peretas dan menerima perintah dari luar.
Server jahat kemudian meminta Anda untuk daftar aplikasi yang diinstal pada ponsel Anda. Menakutkan, bukan? Soalnya malware ini bisa fokus mencuri data dari aplikasi tertentu!
Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay (halaman HTML phishing) yang ditampilkan kepada korban setiap kali korban membuka aplikasi asli.
Ketika korban memasukkan kredensial mereka di halaman palsu, modul keylogger mengirimkan data ke server C2. Hal ini memungkinkan malware mencuri informasi dari korbannya.
“Perbedaannya dengan Antidot adalah ia menggunakan WebSocket untuk menangani komunikasi dengan server [C2],” kata Paret. “Hal ini memungkinkan komunikasi dua arah secara real-time untuk menjalankan perintah, memberikan penyerang kendali penuh atas perangkat yang terinfeksi.”
Perintah yang dijalankan oleh AntiDOT termasuk mengumpulkan pesan SMS, memulai permintaan Data Layanan Tambahan Tidak Terstruktur (USSD), dan mengontrol fungsi perangkat dari jarak jauh seperti kamera dan kunci layar.
“Mereka dapat memantau aktivitas secara real-time, melakukan transaksi tanpa izin, mengakses informasi pribadi, dan merusak perangkat untuk menyimpannya secara fisik,” katanya.
“Kemampuan ini meningkatkan kemampuan untuk mengeksploitasi sumber daya keuangan dan data pribadi korban.”