DroidLock Sandera Android Curi Data

DroidLock Sandera Android Curi Data – Sebuah malware Android yang baru ditemukan dan dijuluki DroidLock teridentifikasi memiliki kemampuan yang sangat merusak.

Malware ini tidak hanya dapat menyandera layar korban untuk meminta tebusan (ransom), tetapi juga mampu mengakses pesan teks, riwayat panggilan, kontak, rekaman audio, bahkan menghapus seluruh data pada perangkat.

Menurut peneliti, DroidLock memungkinkan operatornya untuk mengambil kendali penuh perangkat melalui sistem berbagi jarak jauh VNC.

Selain itu, malware ini sangat berbahaya karena dapat mencuri pola kunci layar (lock pattern) Anda hanya dengan menempatkan antarmuka tiruan di atas layar.

Cara Kerja Infeksi DroidLock

Malware DroidLock dilaporkan menargetkan pengguna yang berbahasa Spanyol dan disebarkan melalui situs web berbahaya yang mempromosikan aplikasi palsu yang meniru paket aplikasi sah.

Proses infeksinya terbagi menjadi dua tahap:

Dropper (Penjatuh): Infeksi dimulai dengan aplikasi “dropper” yang mengelabui pengguna untuk menginstal payload sekunder. Aplikasi awal ini berfungsi sebagai wadah penipuan.
Payload Utama: Payload sekunder inilah yang mengandung malware DroidLock yang sebenarnya. Setelah terinstal, aplikasi utama meminta izin krusial dari pengguna, yaitu Device Admin (Administrator Perangkat) dan Accessibility Services (Layanan Aksesibilitas).

Ketika izin ini diberikan, malware DroidLock memiliki kekuatan penuh untuk melakukan aktivitas penipuan dan destruktif.

DroidLock Sandera Android Curi Data — Image credit: Freepix

Kekuatan Penuh DroidLock

Analisis Zimperium mengungkapkan bahwa DroidLock mendukung setidaknya 15 perintah yang memungkinkan penyerang mengendalikan perangkat dari jarak jauh (RCE – Remote Code Execution). Beberapa tindakan yang dapat dilakukan DroidLock meliputi:

Penyanderaan Layar (Ransomware): Mengunci perangkat dan meminta tebusan melalui tampilan overlay WebView.
Akses Ditolak: Mengubah PIN, kata sandi, atau data biometrik perangkat untuk mencegah pengguna mengaksesnya.
Pencurian Pola Kunci: Mencuri pola kunci layar dengan menempatkan antarmuka palsu di atas antarmuka asli. Pola yang digambar korban dikirim langsung ke penyerang.
Pengintaian Data: Mengakses riwayat panggilan, kontak, dan pesan.
Kontrol Perangkat: Membisukan perangkat (mute), memulai kamera, menghapus data kembali ke pengaturan pabrik (factory reset), hingga menghapus aplikasi.

Ancaman Penghapusan Permanen

Tampilan tebusan DroidLock yang disajikan melalui overlay menginstruksikan korban untuk menghubungi pelaku melalui email Proton. Jika tebusan tidak dibayar dalam 24 jam, pelaku mengancam akan menghancurkan file secara permanen.

Meskipun DroidLock tidak mengenkripsi file (seperti ransomware tradisional), ancaman untuk mengubah kode kunci dan melakukan factory reset (menghapus semua data) mencapai tujuan yang sama, yaitu memaksa korban membayar.

Fitur pencurian pola kunci yang memungkinkan akses jarak jauh melalui VNC bertujuan agar pelaku dapat mengakses perangkat kapan saja ketika perangkat dalam kondisi tidak digunakan (idle).

Tips Pencegahan untuk Pengguna Android

Zimperium, sebagai anggota Google’s App Defense Alliance, telah berbagi temuan ini dengan tim keamanan Android, sehingga sistem Play Protect seharusnya dapat mendeteksi dan memblokir ancaman ini pada perangkat yang telah diperbarui.

Namun, perlindungan terbaik tetap berada di tangan pengguna:

Jangan pernah menginstal berkas APK dari luar Google Play Store, kecuali jika Anda benar-benar yakin dan sumbernya terpercaya (seperti publisher aplikasi yang terkenal).
Selalu periksa izin yang diminta oleh aplikasi. Tanyakan pada diri Anda: “Apakah aplikasi wallpaper ini benar-benar perlu izin Administrator Perangkat dan akses ke kontak serta mikrofon saya?”
Pindai perangkat Anda secara berkala menggunakan Google Play Protect untuk mendeteksi malware yang mungkin telah terinstal.
Pastikan perangkat Android Anda selalu diperbarui ke versi terbaru untuk mendapatkan patch keamanan terbaru yang dapat memblokir ancaman seperti DroidLock.

Baca artikel: