Image credit: Freepix
Waspada Laman Keamanan Google Palsu – Dunia siber kembali dihebohkan dengan teknik penipuan yang sangat rapi dan sangat meyakinkan.
Para penjahat siber kini menggunakan laman keamanan akun Google palsu untuk menyebarkan aplikasi berbasis web yang mampu mencuri kode OTP (one-time passcode), memanen alamat dompet kripto, hingga menjadikan peramban korban sebagai perantara (proxy) bagi lalu lintas ilegal penyerang.
Serangan ini memanfaatkan fitur Progressive Web App (PWA) dan teknik rekayasa sosial untuk menipu pengguna agar percaya bahwa mereka sedang berinteraksi dengan laman resmi Google.
PWA sendiri adalah aplikasi yang berjalan di peramban namun bisa diinstal layaknya aplikasi biasa, lengkap dengan jendela mandiri tanpa kontrol peramban yang terlihat, sehingga sangat sulit dibedakan dari aplikasi resmi.
|
Baca juga: Serangan Kredensial Disukai Peretas |
Peramban Korban Menjadi Alat Penyerang
Kampanye ini sangat bergantung pada kemampuan penyerang untuk mendapatkan izin dari pengguna dengan kedok “pemeriksaan keamanan” dan “peningkatan perlindungan perangkat”. Penjahat siber menggunakan domain yang sangat mirip dengan layanan asli, yaitu google-prism[.]com.
Di situs ini, korban akan dipandu melalui empat langkah pengaturan yang sebenarnya adalah proses pemberian izin berbahaya dan instalasi aplikasi PWA jahat. Berdasarkan temuan para peneliti, aplikasi PWA ini memiliki kemampuan yang sangat mengkhawatirkan:
- Pencurian Data Sensitif: Aplikasi dapat mengambil daftar kontak, data lokasi GPS secara real-time, dan isi papan klip (clipboard) yang sering kali berisi kata sandi atau alamat aset digital.
- Proxy Jaringan dan Pemindaian Port: Fitur yang paling mencemaskan adalah kemampuan aplikasi untuk bertindak sebagai perantara jaringan (HTTP proxy). Ini memungkinkan penyerang merutekan permintaan web melalui peramban korban seolah-olah mereka berada di dalam jaringan korban, sekaligus memindai perangkat lain yang terhubung dalam jaringan yang sama.
- Intersepsi Kode OTP: Dengan memanfaatkan WebOTP API pada peramban yang didukung, malware ini mencoba mencegat kode verifikasi SMS yang masuk.
- Notifikasi Manipulatif: Karena aplikasi ini hanya bisa mencuri data saat sedang terbuka, penyerang akan mengirimkan notifikasi peringatan keamanan palsu untuk memancing korban agar terus membuka kembali aplikasi PWA tersebut.
APK Android yang Haus Izin
Selain aplikasi web, pengguna yang memilih untuk mengaktifkan semua fitur keamanan juga ditawari untuk mengunduh file APK untuk perangkat Android mereka. File ini dipromosikan sebagai “pembaruan keamanan kritis” yang telah diverifikasi oleh Google.
Namun, di balik janjinya, aplikasi ini meminta 33 izin berbahaya, termasuk akses ke SMS, log panggilan, mikrofon, kontak, dan layanan aksesibilitas. Izin-izin ini memungkinkan peretas melakukan kompromi perangkat secara penuh dan penipuan finansial.
Beberapa komponen berbahaya di dalam APK tersebut meliputi:
- Papan Tik Kustom: Digunakan untuk merekam setiap ketukan tombol (keylogging).
- Pendengar Notifikasi: Untuk membaca pesan masuk secara otomatis.
- Administrasi Perangkat: Aplikasi mendaftarkan dirinya sebagai administrator perangkat agar sulit dihapus dan dapat berjalan otomatis saat ponsel dinyalakan.
|
Baca juga: SIM Farm Industri Pencurian Kredensial |
Cara Melindungi Diri dan Menghapus Infeksi
Penting untuk diingat bahwa Google tidak pernah melakukan pemeriksaan keamanan melalui pop-up di laman web.
Atau meminta instalasi perangkat lunak tambahan untuk meningkatkan perlindungan. Semua alat keamanan resmi hanya tersedia melalui myaccount.google.com.
Jika Anda merasa telah menjadi korban, peneliti menyarankan langkah-langkah berikut:
- Hapus APK di Android: Cari aplikasi bernama “Security Check” atau “System Service” dengan nama paket com.device.sync. Jika aplikasi tersebut memiliki akses administrator perangkat, cabut izinnya terlebih dahulu di menu Pengaturan > Keamanan > Aplikasi Admin Perangkat, lalu hapus instalasinya.
- Bersihkan PWA di Peramban: Masuk ke pengaturan aplikasi di Google Chrome, Microsoft Edge, atau Safari, cari aplikasi web yang mencurigakan (seperti yang terkait dengan Google Prism), dan pilih opsi “Hapus” atau “Uninstall”.
- Isolasi dan Reset: Segera putuskan koneksi internet jika perangkat terasa aneh, dan lakukan reset kata sandi serta pengaturan ulang autentikasi multifaktor (MFA) dari perangkat lain yang aman.
Kampanye ini membuktikan bahwa peretas tidak perlu menemukan celah keamanan yang rumit jika mereka bisa menipu pengguna untuk memberikan izin secara sukarela.
Dengan menggabungkan fitur canggih peramban modern dan rekayasa sosial yang cerdik, ancaman PWA jahat ini menjadi pengingat bahwa kewaspadaan adalah pertahanan utama.
Selalu verifikasi alamat URL dan jangan pernah memberikan izin aksesibilitas atau administrator kepada aplikasi yang tidak Anda kenal secara pasti.
Sumber berita:
