Credit image: Pixabay
Pengguna Android harus berhati-hati, ancaman varian baru SpyNote muncul dimana-mana menyamar sebagai bermacam aplikasi yang sulit dibedakan dengan aslinya.
Keluarga malware Android yang dilacak sebagai SpyNote atau SpyMax tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran source code dari salah satu yang terbaru, yang dikenal sebagai CypherRat.
|
Baca juga: Spyware Menyamar Layanan VPN |
Fitur CypherRat
CypherRat menggabungkan kemampuan memata-matai SpyNote, seperti:
- Menawarkan akses jarak jauh.
- Pelacakan GPS
- Pembaruan status
- Fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.
CypherRat dijual melalui saluran Telegram pribadi dari Agustus 2021 hingga Oktober 2022, ketika pembuatnya memutuskan untuk menerbitkan source code-nya di GitHub, menyusul serangkaian insiden penipuan di forum peretasan yang menyamar sebagai proyek tersebut.
Varian-varian Baru
Ancaman varian baru SpyNote tidak sederhana, penjahat siber dengan cepat mengambil bocoran source code SpyNote dan melancarkan kampanye mereka sendiri.
Dengan seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.
Sementara peretas lain memilih untuk menyamarkan CypherRat versi mereka sebagai Google Play, WhatsApp, dan Facebook, menargetkan audiens yang lebih luas.
Aktivitas ini diamati oleh analis keamanan siber, yang mengingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.
|
Baca juga: Mitigasi Spyware |
Fitur Malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.
Berikut ini sebagai fitur menonjol yang dimiliki SpyNote:
- Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2
- GPS dan informasi pelacakan lokasi jaringan
- Mencuri kredensial akun Facebook dan Google.
- Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
- Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan menyamarkan string dan menggunakan pengemas komersial untuk membungkus APK.
Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.
|
Baca juga: Segala Hal Tentang Spyware |
Trojan Perbankan dan Spyware
Pelaku saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.
SpyNote akan terus menimbulkan risiko bagi pengguna Android dan diperkirakan bahwa berbagai cabang malware akan muncul saat kita memasuki tahun 2023.
Meskipun masih belum diketahui bagaimana aplikasi berbahaya ini didistribusikan, diduga mereka menyebar melalui situs phising, situs aplikasi Android pihak ketiga, dan media sosial.
Untuk alasan ini, pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.
Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk mengabaikan pembatasan yang diberlakukan.
|
Baca lainnya: |
Sumber berita:
