Bahaya Terselinap di 90 Program Android Play Toko

Bahaya Terselinap di 90 Program Android Play Toko

Pemakai Android nampaknya harus makin siaga dengan makin ramai tersebarnya program beresiko, dan sanggup menipu mekanisme keamanan Google Play Toko.

Karena didownload dari toko program sah Google, lumrah jika banyak pemakai memandang program yang didownload aman dari malware. Kenyataannya, tanpa diakui mereka sudah jadi korban kejahatan cyber.

Ini tersingkap melalui laporan team keamanan cyber Zscaler ThreatLabz. Mencuplik laporan mereka, Kamis (30/5/2024), ada lebih dari 90 program Android beresiko di Google Play Toko.

Mengagetkannya, keseluruhan unduhan dari ke-90 program Android beresiko itu sudah didownload lebih dari 5,lima juta kali di Play Toko, toko program punya Google dan unggulan pemakai tablet atau HP Android.

Dalam laporan Zscaler ThreatLabz, mereka temukan kenaikan kegiatan trojan perbankan namanya Anatsa. Dikenal juga nama Teabot, trojan ini menarget lebih dari 650 lembaga keuangan di penjuru dunia.

Trojan ini memiliki kemampuan untuk mengambil informasi perbankan, dan dipakai untuk lakukan transaksi bisnis penipuan tanpa setahu korban.

Disebut, trojan yang menyarukan dirin sebagai program sah di Play Toko itu telah mengontaminasi 150 ribu piranti cuma dalam kurun waktu beberapa waktu di antara akhir 2023 dan Februari 2024.

Tipu Mekanisme Keamanan Google Play Toko

Zscaler ThreatLabz mengatakan, “malware Anatsa menyarukan diri sebagi program namanya “PDF Reader dan File Manajer” dan “QR Reader dan File Manajer” untuk menipu korban.”

Sekarang ini, ke-2 program itu telah dihapus dari Play Toko sebelumnya setelah telah didownload 70 ribu kali. Lantas bagaimana aktor kejahatan cyber dibalik penebaran malware ini bisa menipu mekanisme keamanan Play Toko?

Disebut, aktor memakai proses langkah-langkah untuk menghindar dari diagnosis keamanan punya Google. Dengan kekuatan ini, mekanisme keamanan juga makin susah mengetahui.

Selainnya malware Anatsa, team periset keamanan ada lebih dari 90 program mendistribusukan sejumlah type malware populer, seperti Joker, Facestealer, Coper, dan Adwre.

Sayang, periset tidak mengatakan beberapa nama program beresiko yang mereka dapatkan di Play Toko. Tetapi, mereka menjelaskan malware itu menyarukan diri sebagai program produktifitas, photografi, kesehatan, dan ada banyak yang lain.

Penyempurnaan Palsu Google Play Sebar Malware Antidot

Malware memperlihatkan situs penyempurnaan Google Play palsu ini memberikan dukungan beragam bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris.

Dengan support bahasa berbagai ragam, ini bermakna penjahat membuat malware Antidot menarget beragam pemakai berlainan dan negara di dunia.

Bagaimanakah cara Antidot ini mengambil data pemakai? Mencuplik laporan Cyble lewat Dark Reading, Rabu (22/5/2024), malware ini memakai dua jurus, yakni gempuran overlay dan keylogging.

Apa itu? Gempuran overlay membuat penampilan palsu serupa dengan situs program Google Play asli, dan menipu pemakai untuk masukkan data informasi login mereka.

Sementara keylogging sembunyi-sembunyi mecatat semua keystroke yang korban tekan di keyboard, hingga malware bisa mengambil data, termasuk sandi dan yang lain.

“Parahnya, malware Antidot ini dapat bekerja karena dikasih akses “Accessibility” oleh korban tanpa mereka ketahui,” kata Rupali Parate, periset di Cyble.

Dengan akses ini, aktor kejahatan bisa salah gunakan ijin “Accessibility” itu untuk tersambung ke server punya hacker dan terima perintah di luar.

Aktor Mempunyai potensi Kontrol Piranti Korban

Server jahat itu selanjutnya minta daftar program yang terinstall di HP kamu. Takut kan? Masalahnya kelak malware ini dapat konsentrasi mengambil data dari beberapa aplikasi tertentu!

Sesudah mengenali sasaran, server mengirim URL injeksi overlay (halaman phishing HTML) yang diperlihatkan ke korban setiap korban buka program asli.

Saat korban masukkan kredensial mereka di situs palsu itu, modul keylogger akan mengirim data ke server C2. Ini memungkinkannya malware mengambil informasi korbannya.

“Perbedaannya Antidot ialah pemakaian WebSocket untuk jaga komunikasi dengan server [C2],” kata Parate. “Ini memungkinkannya hubungan dua arah secara real-time untuk jalankan perintah, memberi striker kendalian penuh pada piranti terkena.”

Antara perintah yang digerakkan oleh Antidot ialah penghimpunan pesan SMS, inisiasi keinginan data service tambahan tidak terancang (USSD), dan kendalian jarak jauh feature piranti seperti camera dan kunci monitor.

“Mereka bisa memantau kegiatan real-time, lakukan transaksi bisnis tidak resmi, terhubung informasi individu, dan merekayasa piranti seakan-akan mereka sedang menggenggamnya dengan fisik,” ucapnya.

“Kekuatan ini mengoptimalkan kekuatan mereka untuk mengeksplorasi sumber daya keuangan dan data personal korban.”