Analis ESET menemukan sebuah kejutan dari kemunculan aplikasi mata-mata berbahaya dua kali berturut-turut di Google Play Store meminjam kekuatan tool spionase berbasis open source bernama AhMyth.
Spyware ini merupakan yang pertama dibangun dengan fondasi malware open source AhMyth dan mampu menghindari proses pemeriksaan aplikasi Google berulang kali. Aplikasi yang menjadi tempat penyamarannya bernama Radio Balouch atau RB Music, berfungsi sebagai radio streaming di mata pengguna, tapi diam-diam mencuri data pribadi di ponsel yang disusupi, mencuri kontak dan mengambil file yang disimpan pada perangkat yang terinfeksi. Alat spionase open-source AhMyth juga memiliki sejumlah varian yang fungsinya bervariasi. Aplikasi ini dan malware berbasis AhMyth lainnya dapat menerima fungsi lebih lanjut dari pengembangnya di masa mendatang.
Di Google Play Store, ESET menemukan versi berbeda dari aplikasi RB Music dua kali, dan dalam setiap kasus, aplikasi memiliki 100+ pemasangan. ESET melaporkan kemunculan pertama aplikasi pada tim keamanan Google pada 2 Juli 2019, dan langsung dihapus dalam 24 jam. Aplikasi berbahaya ini kemudian muncul kembali di Google Play pada 13 Juli 2019. Yang segera dilaporkan oleh ESET dan kembali dihapus oleh Google.
“ESET juga mendeteksi dan melaporkan kemunculan kedua malware ini, yang kemudian dihapus dengan cepat. Yang menjadi pertanyaan, mengapa Google membiarkan pengembang yang sama mengirimkan malware ke toko aplikasi mereka berulang kali,” ungkap Lukas.
Melihat begitu cepat transisi dari satu aplikasi ke aplikasi lain disurup oleh malware open source AhMyth, bukti jika kemampuan mata-mata spyware ini sangat berbahaya dan mudah ditempel ke aplikasi lain dengan cepat merupakan kemampuan adaptasi yang baik.
Selain Google Play, malware yang terdeteksi oleh ESET sebagai Android/Spy.Agent.AOX, telah beredar di toko aplikasi alternatif. Selain itu, telah dipromosikan di situs web khusus, melalui Instagram, dan YouTube. ESET telah berupaya dengan menginformasikan bahayanya aplikasi tersebut ke penyedia layanan masing-masing, tetapi sayangnya tidak mendapat tanggapan.
Setelah dihapus dari Google Play, aplikasi radio streaming berbahaya tersebut hanya tersedia di toko aplikasi pihak ketiga. Dan telah didistribusikan dari situs web khusus, radiobalouch[.]Com, melalui tautan yang dipromosikan melalui akun Instagram terkait. Server ini juga digunakan untuk komunikasi C&C spyware. Domain ini didaftarkan pada 30 Maret 2019, dan tidak lama setelah pemberitahuan ESET, situs web itu down.
Akun Instagram peretas masih melayani tautan ke aplikasi yang telah dihapus dari Google Play. Mereka juga telah mengatur saluran YouTube dengan satu video yang memperkenalkan aplikasi, rupanya mereka tidak mempromosikannya karena video hanya memiliki 21 tampilan pada saat penulisan.
AhMyth sejak 2017 sudah menjajakan fungsionalitas berbahaya dirinya untuk umum, dan sejak saat itu berbagai aplikasi berbahaya bermunculan berbasis AhMyth. Tapi, aplikasi Radio Balouch adalah yang pertama di jenisnya yang masuk toko aplikasi resmi Google Play.
“Fungsi berbahaya AhMyth tidak disembunyikan, dilindungi, atau dikaburkan. Untuk alasan ini, mudah untuk mengidentifikasi aplikasi Radio Balouch dan turunan lainnya sebagai aplikasi berbahaya dan mengklasifikasikannya sebagai bagian dari famili AhMyth,” papar Lukáš Štefanko, peneliti malware ESET yang melakukan penyelidikan.
Radio Balouch, terdeteksi oleh ESET sebagai Android/Spy.Agent.AOX. Sedangkan ESET Mobile Security telah melindungi Android dari AhMyth dan turunannya sejak Januari 2017, bahkan sebelum AhMyth go public. Sehingga pengguna ESET tidak perlu khawatir terpapar, sementara bagi pengguna lain diharapkan berhati-hati karena AhMyth masih terus dipromosikan di situs web tertentu, Instagram, Youtube dan toko aplikasi alternatif.
Cara kerja
Aplikasi RB Music beroperasi pada Android 4.2 dan lebih tinggi. Fungsionalitas radio internetnya dibundel dengan fungsionalitas AhMyth menjadi satu aplikasi berbahaya.
Setelah instalasi, komponen radio internet berfungsi penuh memainkan musik. Namun, fungsionalitas berbahaya yang ditambahkan memungkinkan aplikasi mencuri kontak, memanen file yang tersimpan di perangkat dan mengirim pesan SMS dari perangkat yang terpengaruh.
Fungsi untuk mencuri pesan SMS yang tersimpan di perangkat juga ada. Namun, fungsi ini tidak dapat digunakan karena pembatasan terbaru Google hanya mengizinkan aplikasi SMS default untuk mengakses pesan-pesan.
Karena AhMyth memiliki lebih banyak varian yang fungsinya bervariasi, aplikasi RB Music dan malware lain yang berbasis pada alat spionase open source ini mungkin mendapatkan fungsi lebih lanjut di masa depan melalui pembaruan.
Setelah aplikasi dijalankan, pengguna dapat memilih bahasa pilihan mereka, pada langkah berikutnya, aplikasi mulai meminta izin. Pertama, ia meminta akses ke file di perangkat, yang merupakan izin sah untuk aplikasi radio untuk mengaktifkan fungsinya, jika ditolak, radio tidak akan berfungsi.
Kemudian, aplikasi meminta izin untuk mengakses kontak. Di sini, untuk menyamarkan permintaannya untuk izin ini, ia menyarankan fungsi ini diperlukan jika pengguna memutuskan untuk berbagi aplikasi dengan teman-teman di daftar kontak mereka. Jika pengguna menolak untuk memberikan izin kontak, aplikasi tetap akan berfungsi sebagaimana mestinya.
Setelah pengaturan, aplikasi membuka layar beranda dengan opsi musik, dan menawarkan opsi untuk mendaftar dan masuk. Namun, “pendaftaran” apa pun tidak ada artinya karena input apa pun akan membawa pengguna ke status “masuk”, dalam bahasa Inggris yang buruk dari operator. Mungkin, langkah ini telah ditambahkan untuk memikat kredensial dari para korban dan mencoba masuk ke layanan lain menggunakan kata sandi yang diperoleh – pengingat untuk tidak pernah menggunakan kembali kata sandi di seluruh layanan. Di samping catatan: kredensial dikirim tidak terenkripsi, melalui koneksi HTTP.
Untuk komunikasi C&C, Radio Balouch mengandalkan domain (sekarang mati) radiobalouch [.] com. Di sinilah ia akan mengirim informasi yang telah dikumpulkannya tentang para korbannya, terutama informasi tentang perangkat yang dikompromikan, dan daftar kontak para korban. Seperti halnya kredensial akun, lalu lintas C&C dikirimkan tidak terenkripsi melalui koneksi HTTP.
Titik perhatian
Menurut para peneliti ESET, kemunculan berulang-ulang aplikasi pembawa AhMyth di Google Play store harus menjadi lonceng peringatan bagi tim keamanan Google dan pengguna Android. Kecuali jika Google meningkatkan kapabilitas perlindungannya. Klon baru AhMyth atau turunan lainnya kemungkinan akan segera muncul lagi di Google Play. Kunci keamanan penting untuk tetap menggunakan sumber aplikasi resmi masih berlaku, namun, itu saja tidak dapat menjamin keamanan. ESET sangat menyarankan pengguna untuk memeriksa setiap aplikasi yang ingin mereka instal pada perangkat mereka dan menggunakan solusi keamanan seluler yang terkemuka.
