ESET kembali harus memperingatkan pada para pengguna smartphone yang mayoritas didominasi Andorid, karena selalu menjadi favorit penjahat siber untuk dimanipulasi melalui malware yang disamarkan dalam aplikasi. Seperti aplikasi Flashlight, sebuah trojan perbankan yang berhasil mengelabui sistem keamanan Google Play.
Flashlight berbeda dengan malware perbankan lain yang umumnya statis dalam menargetkan aplikasi perbankan, trojan satu ini mampu menyesuaikan fungsinya secara dinamis. Selain memberikan fungsi Flashlight (senter) yang dijanjikan, trojan remote control ini dilengkapi dengan berbagai fungsi tambahan yang salah satunya adalah mencuri kredensial perbankan korban.
Berdasarkan perintah dari server C & C, trojan dapat menampilkan layar palsu yang meniru aplikasi yang sah, mengunci perangkat yang terinfeksi untuk menyembunyikan aktivitas penipuan dan mencegat SMS dan menampilkan pemberitahuan palsu agar dapat melewati otentikasi dua faktor.
Malware dapat mempengaruhi semua versi Android karena sifat dinamisnya memungkinkannya untuk tidak memiliki batasan dalam mengincar aplikasi apa pun. Malware bisa mendapatkan kode HTML pada aplikasi terinstal pada perangkat korban dan menggunakan kode tersebut melapisi aplikasi dengan layar palsu setelah dijalankan.
Trojan berbahaya ini berhasil dideteksi oleh ESET sebagai Trojan.Android/Charger.B yang diunggah di Google Play pada 30 Maret dan telah diinstal oleh lebih dari 5.000 pengguna yang tidak menaruh curiga sebelum akhirnya ditarik dari peredaran setelah ESET memberitahu perihal ini pada 10 April lalu.
Cara Kerja Flashlight
Begitu aplikasi terinstal dan mulai dijalankan, ia meminta hak admin perangkat. Pengguna Android 6.0 dan di atasnya juga perlu mengizinkan penggunaan akses secara manual lebih banyak daripada aplikasi lain. Dengan pemberian hak dan izin, aplikasi dapat menyembunyikan ikon dan muncul dalm perangkat hanya sebagai widget.
Sementara payload yang sebenarnya dienkripsi dalam aset file APK yang terinstal dari Google Play, untuk menghindari fungsi jahatnya terdeteksi. Payload yang dilepas, didekripsi dan dieksekusi saat korban menjalankan aplikasi.
Trojan pertama mendaftarkan perangkat terinfeksi ke server pelaku, selain mengirim informasi perangkat korban dan daftar aplikasi terinstal. Malware juga akan coba mengambil data pribadi korban seperti mengambil foto pemilik perangkat yang diambil melalui kamera depan.
Jika dari informasi yang diperoleh diketahui bahwa calon korban berasal dari negara seperti Rusia, Ukraina atau Belarusia, server C2 memerintahkan malware untuk menghentikan aktivitasnya. Kemungkinan besar hal ini dilakukan untuk menghindari tuntutan hukum dari negara asal mereka.
Berdasarkan aplikasi yang ditemukan terpasang pada perangkat yang terinfeksi, server Command & Control (C2) mengirimkan aktivitas palsu yang sesuai dalam bentuk kode HTML berbahaya. HTML ditampilkan di WebView setelah korban meluncurkan salah satu aplikasi yang ditargetkan. Aktivitas yang sah kemudian dilapisi oleh layar palsu yang meminta rincian kartu kredit korban atau kredensial aplikasi perbankan.
Namun, seperti yang disebutkan sebelumnya, menentukan aplikasi apa yang memenuhi syarat sebagai target bukanlah suatu hal yang mudah, karena HTML yang diminta bervariasi berdasarkan aplikasi apa yang terpasang pada perangkat tertentu. Selama penelitian yang dilakukan ESET, diketahui layar palsu menjiplak aplikasi Commbank, NAB dan Westpac Mobile Banking, begitu juga untuk Facebook, WhatsApp, Instagram dan Google Play.
Kredensial yang dimasukkan ke dalam form palsu dikirim tidak terenkripsi ke server C2 pelaku. Sedangkan untuk penguncian perangkat, diduga fungsi ini memasukkan gambar saat menguangkan rekening bank yang dikompromikan. Pelaku dapat mengunci perangkat dari jarak jauh dengan layar palsu yang mirip untuk menyembunyikan aktivitas penipuan dari korban, dan juga untuk memastikan tidak dapat mengganggu.
Untuk berkomunikasi dengan server C2, trojan tersebut meniru Firebase Cloud Messages (FCM), yang bagi ESET merupakan pertama kalinya melihat malware Android menggunakan saluran komunikasi ini.
Berdasarkan penelitian ESET, aplikasi ini adalah versi modifikasi dari Android/Charger. Berbeda dengan versi pertama yang memeras korban dengan mengunci perangkat mereka dan menuntut uang tebusan. Pelaku di belakang Charger sekarang mencoba Keberuntungan mereka dengan phishing untuk mendapatkan kredensial perbankan korban. Transformasi ini menjadi sebuah evolusi yang agak langka di dunia malware Android.
Dengan layar masuk dan kemampuan penguncian palsu, Android/Charger.B juga memiliki kemiripan dengan malware perbankan yang ESET temukan dan analisis pada bulan Februari. Tapi, apa yang membuat penemuan terbaru ini lebih berbahaya, adalah karena kemampuan malware meng-update targetnya secara dinamis, berlawanan dengan penggunaan hardcoded di malware. Teknik ini sekaligus sekaligus menciptakan opsi tak terbatas untuk penyalahgunaan di masa mendatang.
Menghentikan Aktivitas Flashlight
Jika Anda baru saja mengunduh aplikasi Flashlight dari Google Play dan ingin memeriksa apakah trojan yang menyamar dalam aplikasi berada dalam smartphone. Maka untuk mengetahuinya
Anda dapat menemukan aplikasi berbahaya ini di Setting > Application Manager/Apps > Flashlight Widget.
Namun, tidak cukup sampai di situ, menemukan lokasi aplikasi bukanlah hal yang sulit dilakukan, menghapusnya yang menjadi masalah. Trojan akan mencoba untuk mencegah hal ini dengan tidak membiarkan korban mematikan hak administrator perangkat aktif, karena ini adalah langkah penting untuk menghapus aplikasi. Saat mencoba untuk menonaktifkan hak admin, layar pop-up tidak akan hilang sampai Anda berubah pikiran dan klik “activate” (aktifkan) lagi.
Dalam kasus seperti ini, aplikasi dapat di-uninstal dari perangkat Anda melalui safe mode, yang memungkinkan Anda melakukan dua langkah berikut untuk menghapus aplikasi jahat tersebut.
Pertama reboot smartphone dan memulai ulang perangkat dari safe mode, apabila ponsel sudah dalam safe mode cari Setting – Security – Device Administrator – Flashlight Widget lalu nonaktifkan device administrator.
Langkah selanjutnya mulai lagi dari App – Flashlight Widget – Uninstal Widget setelah berhasil menyingkirkan semua, Anda dapat restart kembali smartphone dan dapat menggunakan smartphone kembali secara normal.
Tips Aman ESET
Untuk menghindari konsekuensi malware mobile, pencegahan selalu menjadi kunci. Oleh karena itu pilihlah toko aplikasi resmi saat mengunduh aplikasi. Meski tidak sempurna tapi setidaknya, Google Play menerapkan mekanisme keamanan canggih untuk mencegah malware menyusup, suatu hal yang tidak dilakukan oleh toko alternatif.
Bila ragu saat ingin menginstal sebuah aplikasi, cobalah untuk memeriksa popularitasnya dilihat dari jumlah penginstalan, peringkatnya, dan yang terpenting, konten ulasannya.
Setelah menjalankan semua yang telah diinstal di perangkat seluler, perhatikan hak akses dan hak yang diminta. Jika sebuah aplikasi meminta izin yang sepertinya tidak sesuai dengan fungsinya, seperti hak administrator perangkat untuk aplikasi Flashlight, sebaiknya pikirkan ulang pilihan Anda.
Yang terakhir namun tidak kalah pentingnya, gunakan solusi keamanan seluler terkemuka untuk melindungi perangkat Anda dari ancaman terbaru.
Sumber berita:
https://www.welivesecurity.com
