Semakin banyak orang menggunakan ponsel cerdas daripada komputer untuk berbelanja online pada Q1 2021, ponsel cerdas menyumbang 69% dari semua kunjungan situs web ritel di seluruh dunia, dan pembelian smartphone mencapai 57% dari pesanan belanja online. Aspek penting dalam membeli barang dan jasa melalui perangkat seluler adalah 53% pengguna ponsel cerdas melakukannya dari aplikasi khusus vendor.
Mencari peluang untuk mendapatkan keuntungan dari perilaku ini, penjahat dunia maya memanfaatkannya dengan menipu pembeli yang mengunduh aplikasi berbahaya. Dalam operasi berkelanjutan yang menargetkan pelanggan delapan bank Malaysia, pelaku ancaman mencoba mencuri kredensial perbankan dengan menggunakan situs web palsu yang berpura-pura sebagai layanan sah, yang terkadang menyalin langsung dari yang asli. Situs web ini menggunakan nama domain yang mirip dengan layanan yang mereka tiru agart korban tidak menaruh curiga.
Situs Web Palsu
Operasi penipuan siber ini pertama kali diidentifikasi pada akhir tahun 2021, dengan pelaku yang menyamar sebagai layanan jasa infal resmi Maid4u. Didistribusikan melalui iklan Facebook, operasi tersebut menggoda calon korban untuk mengunduh malware Android dari situs web berbahaya. Aktivitasni masih berlangsung hingga sampai sekarang, dengan lebih banyak lagi domain distribusi yang terdaftar setelah penemuannya. Pada Januari 2022, MalwareHunterTeam membagikan tiga situs web jahat dan trojan Android lainnya yang dikaitkan dengan operasi ini.
Selain itu, peneliti ESET menemukan empat situs web palsu lagi. Ketujuh situs web yang meniru layanan yang hanya tersedia di Malaysia: enam di antaranya, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy dan MaidACall, menawarkan layanan jasa infal, dan ketujuh adalah toko hewan peliharaan bernama PetsMore.
Situs web peniru tidak menyediakan opsi untuk berbelanja langsung melalui mereka. Sebagai gantinya, mereka menyertakan tombol yang mengklaim mengunduh aplikasi dari Google Play. Namun, mengklik tombol ini sebenarnya tidak mengarah ke Google Play Store, tetapi ke server di bawah kendali pelaku. Agar berhasil, serangan ini mengharuskan korban yang dituju untuk mengaktifkan opsi “Instal aplikasi yang tidak dikenal” non-default di perangkat mereka. Menariknya, lima dari tujuh versi sah dari layanan ini bahkan tidak memiliki aplikasi yang tersedia di Google Play.
Cara Kerja Situs Palsu
Agar tampak sah, aplikasi meminta pengguna untuk masuk setelah memulainya, namun tidak ada validasi akun di sisi server, perangkat lunak mengambil input apa pun dari pengguna dan selalu menyatakannya benar. Menjaga tampilan toko elektronik yang sebenarnya, aplikasi jahat berpura-pura menawarkan barang dan jasa untuk dibeli sambil mencocokkan antarmuka toko asli, mereka dapat memilih membayar dengan kartu kredit atau dengan mentransfer jumlah yang diperlukan dari rekening bank mereka. Namun, selama penelitian ESET, opsi kartu kredit tidak dapat digunakan.
Seperti yang telah ESET sebutkan, tujuan dari operator malware adalah untuk mendapatkan kredensial perbankan korban mereka. Setelah memilih opsi transfer langsung, korban disajikan halaman pembayaran FPX palsu dan diminta untuk memilih bank mereka dari delapan bank Malaysia yang disediakan, lalu memasukkan kredensial mereka. Bank yang menjadi sasaran adalah Maybank, Affin Bank, Public Bank Berhad, CIMB bank, BSN, RHB, Bank Islam Malaysia, dan Hong Leong Bank, seperti terlihat pada Gambar 4.
Setelah korban yang tidak beruntung menyerahkan kredensial perbankan mereka, mereka menerima pesan kesalahan yang memberi tahu mereka bahwa ID pengguna atau kata sandi yang mereka berikan tidak valid. Pada titik ini, kredensial yang dimasukkan telah dikirim ke operator malware.
Untuk memastikan pelaku bisa masuk ke rekening bank korbannya, aplikasi e-shop palsu juga meneruskan semua pesan SMS yang diterima korban ke operator jika mengandung kode Two-Factor Authentication (2FA) yang dikirim oleh bank.
|
Baca juga: Tren Ancaman Android Malware Perbankan Unjuk Gigi |
Deskripsi Malware
Malware yang diamati agak minimalis, dirancang untuk meminta hanya satu izin pengguna, yaitu membaca pesan SMS yang diterima. Tujuannya adalah untuk mengelabui kredensial perbankan dan meneruskan pesan SMS 2FA dari perangkat yang disusupi ke operator. Karena tidak memiliki fungsi untuk menghapus pesan SMS dari perangkat, malware tidak dapat menyembunyikan bahwa seseorang mencoba masuk ke rekening bank korban.
Sejauh ini, malware tersebut hanya menargetkan Malaysia, baik toko elektronik yang ditirunya maupun bank yang kredensial pelanggannya adalah Malaysia, dan harga dalam aplikasi semuanya ditampilkan dalam mata uang lokal, Ringgit Malaysia.
Salah satu layanan yang ditiru dalam operasi penipuan siber ini, MaidACall, telah memperingatkan penggunanya tentang operasi penipuan ini melalui posting Facebook. Sisanya belum berkomentar secara terbuka tentang masalah ini.
ESET telah menemukan kode berbahaya yang sama di ketiga aplikasi yang dianalisis, sehingga dapat disimpulkan bahwa semuanya dapat dikaitkan dengan pelaku yang sama.
Melindungi Diri
Untuk melindungi diri dari jenis ancaman ini, pertama-tama, coba pastikan bahwa Anda menggunakan situs web yang sah untuk berbelanja:
Verifikasi apakah situs web aman, yaitu URL-nya dimulai dengan https://. Beberapa browser bahkan mungkin menolak untuk membuka situs web non-HTTPS dan secara eksplisit memperingatkan pengguna atau memberikan opsi untuk mengaktifkan mode khusus HTTPS.
Berhati-hatilah dengan mengklik iklan dan jangan ikuti hasil mesin pencari berbayar, ada kemungkinan bahwa mereka tidak mengarah ke situs web resmi
Selain mencari situs web palsu, berikut adalah beberapa tips berguna lainnya untuk menikmati pengalaman belanja online yang lebih aman di ponsel cerdas Anda:
- Perhatikan sumber aplikasi yang Anda unduh. Pastikan Anda benar-benar diarahkan ke Google Play store saat mendapatkan aplikasi
- Gunakan perangkat lunak atau perangkat keras 2FA alih-alih SMS jika memungkinkan
- Gunakan solusi keamanan seluler untuk mendeteksi situs web berbahaya dan aplikasi berbahaya
|
Baca juga: Trojan Perbankan Eksploitasi YouTube Kontrol Malware Jarak Jauh |
Kesimpulan
Operasi penipuan siber ini menggunakan skema e-shop palsu yang menargetkan kredensial perbankan pengguna Android di Malaysia. Mereka mengeksploitasi popularitas penggunaan smartphone untuk berbelanja online.
Ketimbang menggunakan phising untuk kredensial perbankan di situs web, pelaku telah memasukkan aplikasi Android ke dalam rantai kompromi, sehingga memastikan mereka memiliki akses ke pesan SMS 2FA yang kemungkinan akan diterima oleh korban.
Skema ini mengandalkan penggunaan iklan untuk memikat calon korban agar mengakses versi peniru dari situs web yang sah. Sesampai di sana, tombol unduhan Google Play palsu mengarahkan mereka ke aplikasi jahat yang didistribusikan oleh operator malware melalui situs pihak ketiga.
Sementara kampanye menargetkan Malaysia secara eksklusif untuk saat ini, mungkin akan meluas ke negara dan bank lain di kemudian hari. Saat ini, pelaku mengincar kredensial perbankan, tetapi mereka juga dapat mengaktifkan pencurian informasi kartu kredit di masa mendatang.
|
Baca lainnya: |
