Ponsel Android belakangan semakin sering menjadi sasaran kejahatan siber, disebar secara masif melalui berbagai media seperti Google Play Store dengan menyamar sebagai aplikasi yang sah. Beberapa kali ESET sempat memergoki ulah mereka, namun hal ini tidak menghentikan mereka untuk terus beraksi bahkan kode yang digunakan memakai source code serupa yang dipublikasikan sebulan yang lalu.
Versi sebelumnya yang dideteksi ESET sebagai Trojan.Android/Spy.Banker.HU atau versi 1.1 seperti yang ditemui dalam source code dan dilaporkan pada 6 Februari didistribusikan melalui Google Play Store yang dikenal juga sebagai versi Trojanized dari aplikasi ramalan cuaca Good Weather. Menargetkan 22 aplikasi perbankan mobile Turki, bertujuan mencuri kredensial menggunakan form login palsu. Selain itu perangkat yang terinfeksi dapat dikunci dan dibuka sesuai keinginan pelaku dan dapat mencegat pesan teks yang masuk.
Minggu lalu, ESET kembali menemukan versi terbaru trojan yang beraksi di Google Play, menyamar kembali sebagai aplikasi ramalan cuaca tapi kali ini sebagai aplikasi World Weather yang dalam deteksi ESET dikenali sebagai Trojan.Android/Spy.Banker.HW (versi 1.2), berada dalam layanan Google Play Store sejak 14 Februari sampai dilaporkan ESET dan ditarik dari peredaran pada 20 Februari.
Benang Merah
Penemuan kedua membuka kembali penyelidikan baru yang kemudian menghasilkan beberapa temuan yang sangat menarik:
Kedua trojan ternyata memiliki basis free source code yang sama yang sebelumnya telah dipublikasikan secara online. Template kode malware Android dan kode server C&C diduga ditulis ulang dari awal termasuk panel kontrol web mereka. Free source code ini sudah ada di forum-forum siber Rusia sejak 19 Desember 2016.
Penyelidikan berikutnya, dari hasil analisis yang dilakukan secara mendalam terhadap varian malware yang ditemukan pertama kali dan terdeteksi oleh ESET sebagai Android / Spy.Banker.HH. Varian ini tidak langsung terhubung langsung dengan yang ESET temukan pada Google Play Store, tapi varian ini tetap terdeteksi sebagai versi 1.0, temuan ini terkonfirmasi setelah berhasil mengakses ke kontrol panel botnet server C&C. Dari kontrol panel tersebut berhasil dikumpulkan informasi tentang versi malware dari 2800 lebih bot terinfeksi.
Yang cukup menarik, server C&C itu sendiri sudah aktif sejak 2 Februari 2017, tapi entah kenapa mereka tinggalkan begitu saja dan dapat diakses oleh siapapun yang memiliki URL, tanpa memerlukan kredensial apapun.
Cara Kerja Malware Android
Versi terbaru yang ditemukan pada dasarnya memiliki cara kerja yang sama seperti pendahulunya. Pengembangnya masih mengadopsi kemampuan asli dari aplikasi ramalan cuaca yang diduplikasinya. Trojan ini pun mampu membuka dan mengunci perangkat yang sudah dikuasai dari jarak jauh dan dapat mencegat pesan teks yang masuk.
Perbedaan satu-satunya diantara kedua malware Android hanya dari sasaran yang dituju, jika versi sebelumnya menargetkan 22 aplikasi perbankan mobile Turki, sekarang mereka mengincar 69 aplikasi perbankan milik Inggriss, Austria, Jerman dan Turki dan memiliki teknik penyamaran kode yang lebih baik.
Trojan juga memiliki fungsi notifikasi, tujuannya agar hanya dapat diverifikasi setelah diakses dengan server C&C. Setelah diketahui bahwa malware ini mampu menampilkan notifikasi palsu pada perangkat yang terinfeksi, mendorong pengguna untuk meluncurkan salah satu aplikasi perbankan target berdasarkan pesan penting dari bank yang bersangkutan. Dengan cara ini, form login palsu akan terpicu dengan sendirinya.
Mengatasi Trojan Perbankan Mobile
Bagi mereka yang sudah terlanjur mengunduh aplikasi ramalan cuaca Weather World dari Google Play Store, sebaiknya segera memeriksa ponsel untuk memastikan keberadaan trojan perbankan.
Untuk melakukannya langkah yang harus dilakukan saat ini adalah dengan melihat langsung melalui Settings -> Application Manger. Jika melihat aplikasi cuaca yang dimaksud dan menemukan System Update dalam Settings -> Security -> Device administrators maka perangkat Anda telah terinfeksi.
Untuk membersihkan perangkat Anda, ESET merekomendasikan menggunakan solusi keamanan mobile seperti ESET Mobile Security yang sudah dilengkapi dengan fitur yang mampu melindungi setiap transaksi perbankan yang dilakukan melalui ponsel atau anda dapat melakukannya secara manual.
Untuk uninstall trojan secara manual, pertama yang harus dilakukan adalah menonaktifkan hak administrator aplikasi trojan yang dapat ditemukan pada Settings -> Security -> System update. setelah selesai, uninstall aplikasi melalui Settings -> Application Manger -> Weather.
Mencegah Lebih Baik Daripada Mengobati
Tidak ada jaminan jika ke depan source code yang sudaah disebar secara online tidak akan digunakan kembali untuk membuat trojan yang baru atau digunakan di tempat lain untuk mengincar aplikasi perbankan mobile negara lain. Oleh karena itu, sudah sepatutnya pengguna yang aktif melakukan transaksi melalui smartphone untuk lebih berhati-hati dan melindungi diri dari malware mobile.
Meskipun tidak sempurna, Google Play mempunyai mekanisme keamanan untuk menyaring aplikasi yang masuk dari malware, hal yang tidak dimiliki oleh app store alternatif atau sumber lain yang tidak dikenal, jadi tetaplah menngunakan app stroe resmi seperti Google Play Store.
Saat ingin mengunduh dari Play Store, pastikan untuk mengetahui lebih dalam mengenai aplikasi yang diinginkan, seperti membaca ulasan dari pengguna lain. Saat penginstalan perhatikan permintaan atau izin apa yang dituntut oleh aplikasi, teliti dengan baik, apakah izin yang diminta sesuai dengan fungsi aplikasi tersebut, jika terlalu berlebihan lebih baik dibatalkan.
Setelah menjalankan apa-apa yang telah diinstal pada perangkat mobile Anda, tetap memperhatikan hak akses apa dan permintaan aplikasi. Sebuah aplikasi yang tidak mau dijalankan tanpa hak admin level atas tetapi tidak ada hubungannya sama sekali dengan fungsinya maka aplikasi tersebut lebih baik tidak diinstal pada ponsel Anda.
Sumber berita:
http://www.welivesecurity.com
