Pertumbuhan Bitcoin dan meningkatnya nilai tukar ke titik tertinggi sejak September 2018 membuat penjahat siber mulai blingsatan melihat perkembangan ini dan mereka mulai mengeskalasi upaya dalam menargetkan pengguna cryptocurrency melalui berbagai penipuan dan aplikasi abal-abal.
Salah satu aplikasi tersebut sudah terlihat di Google Play Store, meniru dompet cryptocurrency perangkat keras Trezor dan menggunakan nama “Trezor Mobile Wallet”. ESET belum pernah melihat malware yang menyalahgunakan merek Trezor sebelumnya, hal ini mengundang rasa penasaran yang besar untuk mengetahui aplikasi palsu semacam ini.
Bagaimanapun, Trezor menawarkan dompet perangkat keras yang memerlukan manipulasi fisik dan otentikasi melalui PIN, atau pengetahuan tentang pemulihan untuk mengakses cryptocurrency yang tersimpan. Kendala serupa berlaku untuk aplikasi resminya, TREZOR Manager.
Dari hasil analisis ESET terhadap aplikasi palsu tersebut ditemukan beberapa hal, sebagai berikut:
- Aplikasi ini tidak dapat membahayakan pengguna Trezor yang diberikan banyak lapisan keamanan oleh Trezor.
- Aplikasi terhubung ke aplikasi dompet cryptocurrency palsu bernama “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, yang mampu menipu pengguna yang tidak menaruh curiga.
- Kedua aplikasi ini dibuat berdasarkan templat aplikasi yang dijual online.
ESET telah melaporkan aplikasi Trezor palsu kepada tim keamanan Google dan menghubungi Trezor tentang permasalahan ini. Trezor mengonfirmasi bahwa aplikasi palsu tidak menimbulkan ancaman langsung kepada pengguna mereka. Namun, mereka mengungkapkan kekhawatiran bahwa alamat email yang dikumpulkan melalui aplikasi palsu seperti ini nantinya dapat disalahgunakan untuk kampanye phising yang ditargetkan terhadap pengguna Trezor.
Aplikasi palsu Trezor
Aplikasi yang menyamar sebagai dompet ponsel untuk Trezor diunggah ke Google Play pada 1 Mei 2019 dengan nama pengembang “Trezor Inc.”. Secara keseluruhan, laman aplikasi di Google Play tampak dapat dipercaya, nama aplikasi, nama pengembang, kategori aplikasi, deskripsi aplikasi dan gambar semua tampak sah pada pandangan pertama. Pada saat analisis, aplikasi palsu bahkan muncul sebagai hasil kedua ketika mencari “Trezor” di Google Play, tepat setelah aplikasi resmi Trezor.
Cara kerja Trezor palsu
Penyamaran yang meyakinkan dimulai dan berakhir di Google Play. Setelah pemasangan, ikon yang muncul di layar pengguna berbeda dari yang terlihat di Google Play, yang berfungsi sebagai indikator yang jelas dari sesuatu yang mencurigakan. Ikon aplikasi yang terinstal memiliki Coin Wallet di dalamnya.
Selanjutnya, ketika pengguna meluncurkan aplikasi, layar login generik ditampilkan, tanpa menyebutkan Trezor. Ini adalah indikator lain kita tidak berurusan dengan aplikasi yang sah. Layar generik ini digunakan untuk mengecek kredensial login, tetapi tidak jelas kredensial apa, dan kemungkinan penggunaannya ditujukan untuk pelaku. Meski demikian, apa pun yang dimasukkan pengguna ke dalam form login palsu dikirim ke server pelaku.
Server yang digunakan untuk memanen kredensial dari aplikasi Trezor palsu di-host di coinwalletinc [.] Com. Melihat ke domain membawa ESET ke aplikasi penipuan lain, bernama “Coin Wallet” di situs webnya dan “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether” di Google Play.
Coin Wallet
Aplikasi Coin Wallet dan aplikasi Trezor palsu yang dijelaskan sebelumnya memiliki banyak kesamaan, selain menggunakan server yang sama, mereka juga tumpang tindih dalam kode dan antarmuka. Aplikasi Coin Wallet menggunakan ikon yang sama yang telah kita lihat di aplikasi Trezor palsu setelah instalasi.
Di situs webnya, aplikasi Coin Wallet digambarkan sebagai “World’s leading Coin Wallet”. Situs web tersebut berisi tautan ke Google Play, di mana aplikasi itu mulai ada dari 7 Februari 2019 hingga 5 Mei 2019 dengan nama “Coin Wallet – Bitcoin, Riak, Ethereum, Tether”. Selama waktu itu, ia telah diinstal oleh lebih dari 1000 pengguna. Situs web ini juga nampak menghubungkan ke App Store Apple, tetapi mengklik tombol “Available on the App Store” hanya mengarah ke URL gambar PNG.
Cara kerja Coin Wallet
Aplikasi mengklaim bahwa ia memungkinkan penggunanya membuat dompet untuk berbagai cryptocurrency. Namun, tujuan sebenarnya adalah untuk menjebak pengguna agar mentransfer cryptocurrency ke dompet pelaku, sebuah kasus klasik yang sebut sebagai penipuan alamat dompet seperti dalam penelitian ESET sebelumnya tentang malware yang menargetkan cryptocurrency.
Cara kerjanya adalah aplikasi berpura-pura menghasilkan alamat dompet unik tempat pengguna dapat mentransfer koin mereka. Pada kenyataannya, alamat ini milik dompet pelaku, karena hanya mereka yang memiliki kunci pribadi yang diperlukan untuk mengakses dana. Pelaku memiliki satu dompet untuk setiap cryptocurrency yang didukung, 13 dompet sekaligus dan semua korban dengan cryptocurrency bertarget spesifik diberi alamat dompet yang sama.
Melihat elemen grafis yang dibagikan dan aplikasi Trezor palsu, tampaknya keduanya dibuat atas dasar yang sama. Pencarian Google untuk “coinwallet app template” menghasilkan “Android cryptocurrency wallet template” generik yang tersedia dengan harga $40. Template itu sendiri adalah aset tidak berbahaya yang berubah menjadi berbahaya di tangan pelaku. Namun, ESET melihat di sini bagaimana aset tersebut dapat digunakan oleh lebih banyak pelaku untuk membuat aplikasi yang menipu dengan cepat dan murah.
Mitigasi ESET
Jika Bitcoin melanjutkan tren pertumbuhannya, maka ke depan bisa diprediksi akan bermunculan lebih banyak aplikasi penipuan cryptocurrency di toko aplikasi Android resmi dan di tempat lain. Saat memasang aplikasi, penting untuk tetap berpegang pada beberapa prinsip keamanan dasar, terlebih lagi ketika uang dipertaruhkan.
- Hanya percaya pada cryptocurrency dan aplikasi keuangan lainnya jika mereka ditautkan dari situs web resmi layanan
- Masukkan informasi sensitif Anda ke dalam formulir online jika Anda yakin dengan keamanan dan legitimasi mereka
- Terus perbarui perangkat Anda
- Gunakan solusi keamanan seluler yang memiliki reputasi baik untuk memblokir dan menghilangkan ancaman
Sumber berita:
www.welivesecurity.com
