Ransomware Android Diam-diam Menyelinap

Di luar kegamangan dunia akibat deraan ransomware Wannacrypt, diam-diam sebuah ransomware lain bergerilya mengincar sasaran berbeda, smartphone Android. Tahun lalu ESET menemukan Simplocker, ransomware Android pertama yang benar-benar mengenkripsi file pengguna. Kali ini, para peneliti ESET telah menemukan ransomware Android jenis pengunci layar yang diketahui menyebar liar mengunci PIN ponsel.

Trojan Android LockScreen sebelumnya mengunci layar disertai dengan menampilkan jendela tebusan secara terus menerus dalam waktu yang tidak terbatas. Namun, tidak sulit menyingkirkan malware dengan membuka kunci menggunakan Android Debug Bridge (ADB) atau menonaktifkan hak administrator dan mecopot pemasangan aplikasi berbahaya dalam Safe Mode.

Tetapi kali ini, pengembang malware meningkatkan kemampuan malware dan dengan Android ransom-locker baru yang dideteksi sebagai Android/Lockerpin.A, pengguna tidak lagi mudah mencari cara untuk memperoleh akses ke perangkat mereka tanpa hak akses root atau tanpa sebuah solusi manajemen keamanan terinstal, selain reset pabrik yang akan menghapus semua data.

Selain itu, ransomware ini juga menggunakan trik jahat untuk mendapatkan dan mempertahankan hak Device Administrator sehingga mencegah penginstalan. Bagi ESET ini adalah kasus pertama di mana malware Android menggunakan metode agresif semacam ini.

Analisis

Setelah berhasil melakukan instalasi, malware tersebut mencoba mendapatkan hak Device Administrator. Trik yang belakangan memang makin sering digunakan oleh pengembang malware Android, karena membuat lebih sulit untuk menghapus infeksi. Versi sebelumnya dari keluarga Android/Locker ini dilakukan dengan cara yang sama seperti semua Trojan Android lainnya, mereka bergantung pada pengguna untuk mengaktifkan peningkatan hak admin tanpa menyadari bahayanya.

Dalam versi terbaru, Trojan mendapatkan hak Device Administrator secara diam-diam. Jendela aktivasi dilapisi dengan jendela Trojan yang berpura-pura menjadi “Update patch installation”. Saat para korban mengklik melalui instalasi yang terlihat tidak berbahaya ini, mereka juga secara tidak sadar mengaktifkan hak istimewa Administrator Perangkat di jendela yang tersembunyi.

Setelah mengklik tombolnya, perangkat pengguna akan macet: aplikasi Trojan telah mendapatkan hak Administrator secara diam-diam dan sekarang dapat mengunci perangkat dan yang lebih buruk lagi, ia memasang PIN baru untuk layar kunci. Tidak lama kemudian, pengguna akan diminta untuk membayar uang tebusan karena diduga melihat dan menyimpan materi pornografi terlarang.

Setelah peringatan palsu ini ditampilkan, ransomware mengunci layar. Respon pengguna pasti akan berusaha mencopot pemasangan Android/Lockerpin.A dengan masuk ke Safe Mode tau menggunakan Android Debug Bridge (ADB).

Setelah itu, PIN disetel ulang sehingga korban ataupun pelaku tidak dapat membuka perangkat, karena PIN dihasilkan secara acak. Satu-satunya cara praktis untuk membuka kunci adalah menyetel ulang ke reset factory jika perangkat belum di-root. Perangkat sekarang terkunci secara permanen dan tidak mungkin membukanya tanpa hak akses root.

Pertahanan Locker

Tidak hanya Android/Lockerpin.A memperoleh hak istimewa Device Admin dengan cara baru dan terselubung, mereka juga menggunakan mekanisme pertahanan diri yang agresif untuk memastikannya tidaj dengan mudah disingkirkan dari dalam smartphone.

Saat pengguna mencoba menonaktifkan Device Admin untuk malware, upaya mereka akan sia-sia karena Trojan akan mendaftarkan fungsi call back untuk mengaktifkan kembali hak istimewa saat penghapusan dicoba.

Demikian pula ketika Device Administrator pertama kali diaktifkan oleh Trojan, jika upaya penghapusan dilakukan, jendela Device Administrator kembali dilapisi dengan jendela palsu.

Sebagai lapisan perlindungan diri ekstra, ransomware juga mencoba untuk membunuh proses AV yang berjalan saat pengguna mencoba untuk menonaktifkan hak Admin Device-nya. Trojan mencoba melindungi diri dari tiga aplikasi anti-virus mobile: ESET Mobile Security dan juga solusi Android oleh Avast dan Dr.Web.

Perhatikan com.android.settings, ini adalah upaya untuk mencegah penghapusan standar melalui pengelola aplikasi bawaan Android. Namun, dengan mekanisme perlindungan diri milik ESET, malware tidak akan berhasil membunuh atau menghapus ESET Mobile Security.

Distribusi dan Penangkalan Ransomware

Trojan ini menggunakan teknik social engineering untuk mengelabui pengguna agar menginstalnya. Ransomware ini berpura-pura menjadi video dewasa, sebuah aplikasi untuk melihat video dewasa/porno. Dalam semua kasus yang telah ESET amati, aplikasi tersebut menyebut dirinya “Porn Droid”.

Satu-satunya cara untuk menghapus layar kunci PIN tanpa pengaturan ulang pabrik adalah saat perangkat di-root atau solusi MDM yang mampu mengatur ulang PIN yang terpasang. Jika perangkat di-root maka pengguna dapat terhubung ke perangkat oleh ADB dan menghapus file tempat PIN disimpan.

Agar dapat bekerja, perangkat harus mengaktifkan debugging jika tidak, hal itu tidak mungkin dapat dilakukan (Setting -> Opsi pengembang -> Debugging USB). Pengguna dapat menggunakan serangkaian perintah berikut untuk membuka kunci perangkat:

> adb shell
> su
> rm /data/system/password.key

Usai menjalankan perintah di atas, layar kunci PIN atau kata sandi akan dihapus dan pengguna bisa masuk ke perangkat. Dalam beberapa kasus, perlu dilakukan reboot perangkat.

Cara paling efektif untuk menghindari terinfeksi dan dikunci dari perangkat adalah dengan tindakan pencegahan proaktif. Kami sangat menyarankan pengguna agar software antivirus mereka tetap up-to-date. ESET Mobile Security mendeteksi ancaman ini sebagai Android/Lockerpin.A.

Sumber berita:

https://www.welivesecurity.com