jabar.waspada.co.id – Peneliti dari perusahaan keamanan ThreadFabric, memaparkan adanya aplikasi di Google Play yang mengandung trojan perbankan yang diam-diam mengambil informasi kredensial pengguna.
Dikutip dari Arstechnica, Jumat (3/12), aplikasi jahat ini sudah diunduh lebih dari 300 ribu kali. Aplikasi ini menyamar sebagai aplikasi yang berfungsi memindai QR, memindai PDF, hingga dompet kripto.
Informasi kredensial perbankan yang disedot aplikasi ini mulai dari kata sandi pengguna, hingga kode two-factor authentication. Bahkan aplikasi ini bisa mengetahui tombol apa saja yang sudah ditekan pengguna sehingga bisa mengambil tangkapan layar.
Malware yang dimaksud, menggunakan sejumlah trik untuk menghindari pembatasan yang dibuat Google dalam upaya untuk mengendalikan distribusi aplikasi yang tidak ada habisnya di pasar resmi.
Pembatasan Google salah satunya meliputi pembatasan penggunaan layanan aksesibilitas bagi pengguna dengan gangguan penglihatan. Tujuannya adalah untuk mencegah penginstalan otomatis tanpa persetujuan pengguna.
Peneliti dari ThreadFabric mengungkap alasan yang membuat kampanye distribusi Google Play ini sulit dideteksi dari perspektif otomatisasi dan machine learning karena semua aplikasi dropper memiliki jejak berbahaya yang sangat kecil.
“Jejak kecil adalah konsekuensi langsung dari pembatasan izin yang diberlakukan oleh Google Play,” kata peneliti ThreadFabric dalam unggahannya.
Peneliti juga menjelaskan cara kerja aplikasi jahat ini. Ketika aplikasi dipasang, pengguna menerima pesan yang menginstruksikan mereka untuk mengunduh update yang memasang fitur tambahan.
Aplikasi pun sering meminta untuk diperbarui yang diunduh dari sumber pihak ketiga. Sayangnya, banyak pengguna yang mempercayai informasi ini.
Sebagian besar aplikasi yang sudah disusupi malware trojan perbankan ini pun awalnya tidak dideteksi oleh malware checker yang tersedia di VirusTotal.
Aplikasi juga bisa menyembunyikan diri dari malware checker dengan mekanisme lain. Dalam banyak kasus, operator malware secara manual menginstal update berbahaya setelah memeriksa lokasi geografis perangkat yang sudah terinfeksi atau dengan update aplikasi bertahap. (wol/bil/d2)
Editor AGUS UTAMA
Discussion about this post