Image credit: magnific
Aplikasi di Google Play Store Bisa Curi Rekening – Google Play Store selama ini dikenal sebagai toko aplikasi resmi Android yang memiliki berbagai mekanisme keamanan untuk melindungi penggunanya.
Namun, perkembangan teknik yang digunakan pelaku kejahatan siber menunjukkan bahwa bahkan platform resmi sekalipun tidak sepenuhnya kebal terhadap ancaman malware.
Baru-baru ini, para peneliti kembali menemukan sebuah aplikasi berbahaya yang berhasil lolos dari proses pemeriksaan keamanan Google Play Store dan telah diunduh lebih dari 100.000 kali.
Sebelum akhirnya teridentifikasi sebagai pembawa malware perbankan Anatsa atau yang juga dikenal sebagai TeaBot. Temuan ini menjadi pengingat bahwa kejahatan siber terus berkembang dengan memanfaatkan teknik penyamaran yang semakin canggih.
Jika sebelumnya malware sering disebarkan melalui toko aplikasi tidak resmi atau tautan berbahaya, kini pelaku berhasil menyusupkan malware ke dalam aplikasi yang tampak sah dan tersedia di platform resmi.
Kondisi tersebut meningkatkan risiko bagi pengguna Android karena banyak orang beranggapan bahwa seluruh aplikasi di Google Play Store telah dipastikan aman untuk digunakan.
Malware di Balik Aplikasi Pembaca Dokumen
Dalam kampanye terbaru ini, pelaku menyamarkan malware di dalam sebuah aplikasi yang mengaku sebagai pengelola file dan pembaca dokumen. Sepintas aplikasi tersebut tampak normal dan mampu menjalankan fungsi yang dijanjikan sehingga tidak menimbulkan kecurigaan bagi pengguna.
Namun di balik tampilannya yang sederhana, aplikasi tersebut sebenarnya berfungsi sebagai dropper, yaitu aplikasi yang bertugas mengunduh malware utama dari server yang dikendalikan pelaku setelah aplikasi berhasil dipasang pada perangkat korban.
Teknik ini semakin banyak digunakan oleh kelompok kriminal siber karena memiliki beberapa keuntungan, antara lain:
- Aplikasi awal terlihat bersih saat diperiksa.
- Malware utama baru diunduh setelah aplikasi terpasang.
- Lebih sulit dideteksi oleh sistem pemeriksaan otomatis.
- Dapat memperbarui malware kapan saja tanpa harus memperbarui aplikasi di Play Store.
- Memungkinkan pelaku mengganti muatan malware sesuai target yang diinginkan.
Dengan pendekatan tersebut, aplikasi yang tampaknya tidak berbahaya dapat berubah menjadi ancaman serius hanya beberapa saat setelah diinstal.
|
Baca juga: Ratusan Laptop Dell Rentan terhadap Serangan yang Sulit Dihapus |
Malware Perbankan yang Terus Berkembang
Anatsa, yang juga dikenal dengan nama TeaBot, pertama kali muncul pada tahun 2020 dan hingga kini terus mengalami penyempurnaan.
Malware ini dirancang khusus untuk menyerang aplikasi keuangan dengan tujuan utama mencuri informasi yang dapat digunakan untuk mengambil alih rekening korban.
Seiring perkembangannya, Anatsa tidak hanya menargetkan aplikasi perbankan, tetapi juga berbagai layanan keuangan lain seperti platform investasi dan dompet aset kripto.
Peneliti mengungkapkan bahwa varian terbaru malware ini telah mampu menargetkan lebih dari 831 aplikasi layanan keuangan di berbagai negara.
Kemampuan Anatsa meliputi:
- Mencuri nama pengguna dan kata sandi.
- Merekam setiap tombol yang diketik (keylogging).
- Mengambil kode OTP yang dikirim melalui SMS.
- Menampilkan halaman login palsu.
- Mengendalikan perangkat dari jarak jauh.
- Melakukan transaksi tanpa sepengetahuan korban.
Kemampuan tersebut menjadikan Anatsa sebagai salah satu malware perbankan Android yang paling berbahaya saat ini.
Menyamar untuk Menghindari Deteksi
Salah satu keunggulan utama malware modern adalah kemampuannya beradaptasi terhadap sistem keamanan. Dalam kampanye ini, aplikasi tidak langsung menunjukkan perilaku mencurigakan.
Apabila malware mendeteksi bahwa dirinya sedang dianalisis di lingkungan pengujian (sandbox) atau gagal berkomunikasi dengan server pelaku, aplikasi hanya menampilkan fungsi normal sebagai pembaca dokumen dan pengelola file.
Strategi tersebut membuat aplikasi terlihat benar-benar sah sehingga baik pengguna maupun sistem keamanan sulit mengenali adanya aktivitas berbahaya.
Selain itu, malware menggunakan berbagai teknik penyamaran lainnya, seperti:
- Mendekripsi kode hanya ketika dijalankan.
- Menyembunyikan payload di dalam arsip ZIP yang telah dimodifikasi.
- Mengubah identitas paket aplikasi secara berkala.
- Mengganti hash instalasi untuk menghindari deteksi berbasis tanda tangan.
Teknik-teknik tersebut menunjukkan bahwa malware Android saat ini tidak lagi mengandalkan metode sederhana, tetapi telah mengadopsi berbagai pendekatan yang sebelumnya lebih banyak ditemukan pada malware komputer.
Mengincar Aplikasi Perbankan dan Keuangan
Setelah aktif di perangkat korban, Anatsa akan memantau seluruh aplikasi yang dijalankan pengguna. Ketika korban membuka aplikasi perbankan atau layanan keuangan yang menjadi target, malware segera menampilkan halaman login palsu yang tampilannya dibuat semirip mungkin dengan aplikasi asli.
Korban yang tidak menyadari adanya manipulasi tersebut akan memasukkan informasi login seperti biasa. Seluruh data kemudian dikirim langsung kepada pelaku tanpa diketahui oleh pengguna.
Yang membuat serangan ini semakin berbahaya adalah kemampuan malware menyesuaikan halaman login sesuai aplikasi yang digunakan korban. Dengan demikian, tampilan yang muncul akan berbeda-beda tergantung bank atau layanan keuangan yang sedang dibuka.
Selain mencuri kredensial, malware juga menjalankan keylogger yang merekam seluruh aktivitas pengetikan pengguna. Data hasil pencurian kemudian dienkripsi sebelum dikirim ke server pelaku sehingga lebih sulit dideteksi oleh sistem pemantauan jaringan.
|
Baca juga: Evolusi EDR Killer Baru Mengancam Keamanan Sistem |
Mengapa Malware Bisa Lolos ke Google Play Store?
Banyak pengguna beranggapan bahwa seluruh aplikasi di Google Play Store telah dipastikan aman. Pada kenyataannya, proses pemeriksaan keamanan memang mampu menghentikan sebagian besar aplikasi berbahaya, tetapi tidak semua ancaman dapat teridentifikasi sejak awal.
Pelaku kini memanfaatkan berbagai teknik untuk menghindari pemeriksaan tersebut, antara lain:
- Menyembunyikan malware di server eksternal.
- Mengaktifkan fungsi berbahaya hanya setelah aplikasi dipasang.
- Menggunakan enkripsi berlapis.
- Mengubah perilaku aplikasi ketika dianalisis.
- Mengaktifkan malware hanya pada negara atau perangkat tertentu.
Strategi ini menyebabkan aplikasi tampak normal ketika diperiksa, tetapi berubah menjadi berbahaya setelah berada di perangkat pengguna.
Fenomena serupa juga pernah terjadi pada berbagai malware Android lainnya seperti Joker, HummingBad, Xenomorph, Octo, dan Hydra, yang beberapa kali berhasil menyusup ke toko aplikasi resmi sebelum akhirnya dihapus.
Hal ini menunjukkan bahwa toko aplikasi resmi tetap dapat dimanfaatkan oleh pelaku apabila mereka berhasil menemukan cara untuk mengelabui sistem pemeriksaan keamanan.
Melindungi Android dari Malware Perbankan
Meskipun Google secara rutin menghapus aplikasi berbahaya dari Play Store, pengguna tetap perlu meningkatkan kewaspadaan karena ancaman baru terus bermunculan.
Beberapa langkah yang dapat dilakukan untuk mengurangi risiko antara lain:
- Periksa izin aplikasi sebelum menginstalnya. Aplikasi pembaca dokumen seharusnya tidak memerlukan akses ke SMS, Accessibility Service, atau kemampuan mengendalikan perangkat.
- Unduh aplikasi hanya dari pengembang yang memiliki reputasi baik dan perhatikan ulasan terbaru dari pengguna lain.
- Aktifkan Google Play Protect agar perangkat dapat melakukan pemeriksaan otomatis terhadap aplikasi yang terpasang.
- Selalu perbarui sistem operasi Android dan aplikasi untuk menutup celah keamanan yang dapat dimanfaatkan malware.
- Gunakan autentikasi multi-faktor (MFA) pada layanan keuangan yang mendukung fitur tersebut.
- Jangan mudah memberikan izin Accessibility kepada aplikasi yang tidak benar-benar memerlukannya, karena izin ini sering disalahgunakan untuk mengendalikan perangkat.
- Gunakan solusi keamanan terpercaya yang mampu mendeteksi malware Android dan aktivitas mencurigakan secara real-time.
- Segera hapus aplikasi yang menunjukkan perilaku tidak wajar, seperti meminta izin berlebihan, menampilkan iklan secara terus-menerus, atau menyebabkan perangkat bekerja tidak normal.
Kewaspadaan Digital Pengguna
Kemunculan kembali Anatsa di Google Play Store membuktikan bahwa pelaku kejahatan siber terus mengembangkan teknik baru untuk menghindari mekanisme keamanan yang diterapkan oleh penyedia platform.
Dengan memanfaatkan aplikasi yang tampak sah sebagai pintu masuk, malware dapat menyusup ke perangkat korban tanpa menimbulkan kecurigaan dan mulai mencuri informasi penting setelah memperoleh izin yang dibutuhkan.
Peristiwa ini menjadi pengingat bahwa keamanan digital tidak hanya bergantung pada penyedia layanan, tetapi juga pada kewaspadaan pengguna. Sebelum menginstal aplikasi apa pun, luangkan waktu untuk memeriksa identitas pengembang, izin yang diminta, serta ulasan pengguna lainnya.
Di era ketika malware semakin cerdas dan sulit dikenali, kebiasaan sederhana tersebut dapat menjadi lapisan pertahanan pertama dalam melindungi data pribadi maupun aset keuangan dari ancaman kejahatan siber.
Sumber berita:
