Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky Lab, menemukan, adanya malware (perangkat lunak jahat) baru di sistem operasi Android.
Malware tersebut sengaja disamarkan sebagai aplikasi dan didesain untuk menonaktifkan Google Play Protect, layanan perlindungan otomatis bawaan Google.
Padahal, baru-baru, Google Play Protect mendeteksi dan menghapus sekitar 1.700 aplikasi yang terinfeksi dengan malware Joker Android (juga dikenal sebagai Bread) dari Play Store sejak perusahaan mulai melacak jenis ini pada awal 2017.
Sekadar diketahui, setiap hari Google Play Protect memindai lebih dari 50 miliar aplikasi di lebih dari dua miliar perangkat,” menurut laporan bertajuk Android Security & Privacy 2018 Year In Review yang diterbitkan pada Maret 2019.
Tak hanya itu, peneliti Kaspersky Lab, Igor Golovin, mengatakan, malware baru tersebut dirancang untuk membuat ulasan palsu (fake review) sebuah aplikasi, memasang aplikasi jahat, menampilkan iklan, dan banyak lagi.
Malware yang sangat dikaburkan tersebut dijuluki “Trojan-Dropper.AndroidOS.Shopper.a”.
Dalam bekerja malware ini sangat bergantung pada perintah tuannya, Shopper.a, di antaranya:
Buka tautan yang diterima dari server jarak jauh dalam jendela yang tidak terlihat (di mana malware memverifikasi bahwa pengguna terhubung ke jaringan seluler)
Setelah sejumlah layar terbuka, menyembunyikan diri dari menu aplikasi
Periksa ketersediaan hak Layanan Aksesibilitas dan, jika tidak diberikan, secara berkala mengajukan permintaan phishing kepada pengguna untuk menyediakannya
Nonaktifkan Google Play Protect
Buat pintasan ke situs yang diiklankan di menu aplikasi
Unduh aplikasi dari Apkpure [.] com pihak ketiga dan instal
Buka aplikasi yang diiklankan di Google Play dan “klik” untuk menginstalnya
Ganti pintasan ke aplikasi yang diinstal dengan pintasan ke situs yang diiklankan
Mengunggah ulasan palsu yang seharusnya dari pengguna Google Play.
Tampilkan iklan ketika layar tidak dikunci
Daftarkan pengguna melalui akun Google atau Facebook mereka di beberapa aplikasi.
“Penjahat dunia maya menggunakan Trojan-Dropper.AndroidOS.Shopper.a untuk meningkatkan peringkat aplikasi tertentu dan meningkatkan jumlah instalasi dan pendaftaran,” tutur Igor demikian seperti dikutip dari BleepingComputer, Sabtu (11 Januari 2020).”Semuanya itu dipakai, antara lain untuk menipu pengiklan. Terlebih lagi, Trojan dapat menampilkan pesan iklan pada perangkat yang terinfeksi, membuat pintasan ke situs iklan, dan melakukan tindakan lain,” ia menambahkan.
Penyerang menggunakan ikon sistem dan nama ConfigAPKs, sangat mirip dengan nama layanan Android sah, yang bertanggung jawab untuk mengonfigurasi aplikasi saat pertama kali perangkat dinyalakan (booting).
Trojan ini tersebar paling banyak di Rusia dengan pengguna yang terinfeksi sekitar 28,46 persen pada Oktober hingga November 2019, kata Igor.
Di posisi berikutnya, peneliti mencatat para korban tersebar di Brasil sebanyak 18,7 persen dan India sekitar 14,23 persen.
Skema malware
Setelah menginfeksi perangkat Android korban, malware ini mengunduh dan mendekripsi muatan. Dari situ, malware langsung bekerja memanen informasi dari perangkat, seperti lokasi perangkat, jenis jaringan, vendor, model ponsel cerdas, alamat email, IMEI, dan IMSI.
“Semua data tersebut kemudian disaring ke server operator,” kata Igor.
Selanjutnya, penyerang mengirim kembali serangkaian perintah untuk dijalankan pada ponsel cerdas atau tablet yang terinfeksi.
Serangakan perintah tadi adalah membuat ulasan atau mempromosikan aplikasi palsu berbahaya tadi di Google Play Store. Juga, menginstal aplikasi lain dari Play Store atau toko aplikasi pihak ketiga dengan tidak terlihat.
Itu semua dilakukan dengan menyalahgunakan Layanan Aksesibilitas (Accessibility Service), sebuah taktik yang digunakan oleh malware Android untuk melakukan berbagai kegiatan berbahaya tanpa memerlukan interaksi pengguna.
“Jika tidak memiliki izin untuk mengakses layanan, Trojan akan menggunakan phishing untuk mendapatkannya dari pemilik perangkat yang dikompromikan,” menurut peneliti.
Yang lebih hebat lagi, kata Igor, Trojan ini memiliki kemungkinan yang hampir tak terbatas untuk berinteraksi dengan antarmuka sistem dan aplikasi.
Misalnya, si malware itu dapat mencegat data yang ditampilkan di layar, mengklik tombol, dan meniru gerakan pengguna.
Indonesian
Afrikaans
Albanian
Amharic
Arabic
Armenian
Azerbaijani
Basque
Belarusian
Bengali
Bosnian
Bulgarian
Catalan
Cebuano
Chichewa
Chinese (Simplified)
Chinese (Traditional)
Corsican
Croatian
Czech
Danish
Dutch
English
Esperanto
Estonian
Filipino
Finnish
French
Frisian
Galician
Georgian
German
Greek
Gujarati
Haitian Creole
Hausa
Hawaiian
Hebrew
Hindi
Hmong
Hungarian
Icelandic
Igbo
Irish
Italian
Japanese
Javanese
Kannada
Kazakh
Khmer
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latin
Latvian
Lithuanian
Luxembourgish
Macedonian
Malagasy
Malay
Malayalam
Maltese
Maori
Marathi
Mongolian
Myanmar (Burmese)
Nepali
Norwegian
Pashto
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Samoan
Scottish Gaelic
Serbian
Sesotho
Shona
Sindhi
Sinhala
Slovak
Slovenian
Somali
Spanish
Sudanese
Swahili
Swedish
Tajik
Tamil
Telugu
Thai
Turkish
Ukrainian
Urdu
Uzbek
Vietnamese
Welsh
Xhosa
Yiddish
Yoruba
Zulu