Credit image: Freepix
Spyware Android Baru Menyamar Jadi WhatsApp dan TikTok – Para pengguna Android, terutama yang sering mengunduh aplikasi di luar Google Play Store, harus waspada. Sebuah spyware (perangkat lunak mata-mata) Android baru yang sangat aktif bernama ClayRat sedang beredar.
Spyware ini secara licik menyamar sebagai aplikasi populer seperti WhatsApp, Google Photos, TikTok, dan YouTube untuk memancing korban.
Para peneliti keamanan telah mendokumentasikan lebih dari 600 sampel dan 50 jenis penyebar (dropper) yang berbeda selama tiga bulan terakhir, menunjukkan bahwa operasi ClayRat adalah upaya besar-besaran dan terus menerus.
Cara Kerja Operasi ClayRat
Operasi ClayRat, dinamai dari server command and control (C2) malware tersebut, menargetkan pengguna melalui saluran Telegram dan situs web berbahaya yang dirancang agar terlihat sangat meyakinkan.
|
Baca juga: Momok Ransomware Teratas DragonForce |
Situs Palsu dan Telegram
Peretas membuat portal phising dan domain yang didaftarkan secara hati-hati, meniru tampilan halaman layanan resmi.
Situs-situs ini kemudian mengarahkan pengunjung ke saluran Telegram di mana file paket Android (APK) disajikan kepada korban yang tidak curiga.
Untuk membangun kepercayaan, pelaku ancaman menambahkan elemen palsu pada situs-situs tersebut, termasuk:
- Komentar Palsu
- Jumlah Unduhan yang Digelembungkan
- Antarmuka Pengguna (UX) Palsu yang meniru Google Play Store, lengkap dengan panduan langkah demi langkah tentang cara menginstal APK secara sideload dan melewati peringatan keamanan Android.
Memanfaatkan Layar Pembaruan Palsu
Beberapa sampel malware ClayRat bertindak sebagai dropper. Artinya, aplikasi yang dilihat pengguna hanyalah layar pembaruan Play Store palsu, sementara muatan berbahaya (payload) terenkripsi disembunyikan di dalam aset aplikasi.
Malware ini menggunakan metode instalasi “berbasis sesi” (session-based) untuk menghindari batasan yang diterapkan pada Android 13 ke atas.
Metode ini secara efektif mengurangi kecurigaan pengguna dan meningkatkan kemungkinan bahwa kunjungan ke halaman web akan berujung pada instalasi spyware secara sukses.
|
Baca juga: Ketika Ketergantungan pada Ponsel Merenggut Ketenangan |
Kemampuan Spyware yang Mengerikan
Setelah aktif di perangkat, ClayRat mengambil peran sebagai penangan SMS default. Peran ini memberikan spyware tersebut kendali penuh atas komunikasi teks pengguna, memungkinkannya:
- Membaca semua SMS yang masuk dan tersimpan.
- Mencegat SMS sebelum aplikasi lain.
- Memodifikasi basis data SMS.
Spyware ClayRat kemudian menjalin komunikasi dengan server C2 yang terenkripsi (menggunakan AES-GCM) dan siap menerima 12 perintah berbeda dari peretas, dantaranya:
- get_apps_list : Mengirim daftar aplikasi yang terinstal.
- get_calls : Mengirim riwayat panggilan (call logs).
- get_camera : Mengambil foto dengan kamera depan dan mengirimkannya ke server.
- get_sms_list : Mencuri semua pesan SMS.
- Messsms : Mengirim SMS massal ke semua kontak.
- send_sms / make_call : Mengirim SMS atau membuat panggilan dari perangkat korban.
- Notifications : Menangkap semua notifikasi dan data push.
- get_device_info : Mengumpulkan informasi perangkat.
Penularan Massal Otomatis
Salah satu kemampuan yang paling mengkhawatirkan adalah penyebarannya yang begitu menyakinkan, setelah ia mendapatkan izin yang diperlukan.
Spyware ini secara otomatis mengambil daftar kontak dan mengirimkan pesan SMS secara terprogram ke setiap kontak. Hal ini membuat perangkat korban menjadi papan loncatan untuk menyebarkan malware ke lebih banyak korban.
Cara Melindungi Diri
Meskipun operasi ini masif (lebih dari 600 sampel tercatat dalam tiga bulan), Google telah diberitahu dan layanan Play Protect kini memblokir varian ClayRat yang diketahui maupun yang baru.
Namun, karena penyebaran terjadi melalui situs web dan Telegram, bukan Play Store resmi, ada langkah-langkah yang harus Anda ambil:
- Jangan pernah mengunduh atau menginstal file APK dari situs web yang tidak dikenal, saluran Telegram, atau tautan yang mencurigakan, meskipun mereka mengaku sebagai WhatsApp, TikTok, atau Google Photos.
- Berhati-hatilah jika sebuah aplikasi yang tampaknya tidak bersalah (seperti pembaruan galeri) meminta izin untuk menjadi penangan SMS default atau meminta akses luas ke notifikasi dan kamera.
- Jangan abaikan peringatan keamanan yang dikeluarkan oleh sistem operasi Android saat Anda mencoba menginstal aplikasi dari luar Play Store (sideloading).
- Pastikan fitur Google Play Protect di ponsel Anda selalu aktif untuk memindai aplikasi.
Penyebaran melalui saluran non-resmi berarti Anda harus selalu menjaga kewaspadaan saat mengunduh dan memberikan izin pada aplikasi di perangkat Android Anda.
Sumber berita:
