Bulan Mei 2021, peneliti ESET menemukan lusinan aplikasi dompet cryptocurrency ditrojanisasi. Diketahui aplikasi Android dan iOS yang ditrojan didistribusikan melalui situs web yang meniru layanan yang sah. Aplikasi jahat ini mampu mencuri data rahasia korban dengan meniru Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket, atau OneKey.
Ini adalah vektor serangan yang canggih karena pembuat malware melakukan analisis mendalam terhadap aplikasi sah yang disalahgunakan dalam skema ini, memungkinkan penyisipan kode berbahaya mereka sendiri ke tempat-tempat yang sulit dideteksi sekaligus memastikan bahwa aplikasi memiliki fungsi yang sama dengan aslinya. Pada titik ini, ESET menduga bahwa ini adalah pekerjaan satu peretas atau satu kelompok kriminal.
Tujuan utama dari aplikasi berbahaya ini adalah untuk mencuri dana pengguna, karena cryptocurrency semakin populer, maka teknik kemungkinan akan menyebar ke pasar lain.
Dari kode sumber situs web distribusi front-end dan back-end, termasuk file APK dan IPA yang dikompilasi ulang. ESET menemukan kode ini di setidaknya lima situs web, di mana kode itu dibagikan secara gratis, dan dari sini kita akan melihat lebih banyak peretas lain peniru. Dari postingan yang ditemukan, sulit untuk menentukan apakah itu dibagikan dengan sengaja atau bocor.
Aplikasi berbahaya ini juga merupakan ancaman lain bagi para korban, karena beberapa di antaranya mengirim data rahasia dompet cryptocurrency korban ke server peretas menggunakan koneksi HTTP yang tidak aman. Ini berarti bahwa dana korban dapat dicuri tidak hanya oleh operator skema ini, tetapi juga oleh pelaku lain yang menyadap di jaringan yang sama.
Selain skema dompet cryptocurrency ini, ESET juga menemukan 13 aplikasi berbahaya yang meniru dompet Jaxx Liberty. Aplikasi ini tersedia di Google Play store, yang dilindungi secara proaktif oleh App Defense Alliance, di mana ESET adalah salah satu mitra pemindaian, sebelum aplikasi terdaftar.
|
Baca juga: Demam Crypto Mengigil Diancam Scammers |
Distribusi
ESET Research mengidentifikasi lebih dari 40 situs peniru dompet cryptocurrency populer beredar di dunia maya. Situs web ini hanya menargetkan pengguna seluler dan menawarkan mereka unduhan aplikasi dompet berbahaya.
Setelah dilacak, vektor distribusi dompet cryptocurrency yang ditrojanisasi ini berasal dari Mei 2021 berdasarkan pendaftaran domain yang disediakan untuk aplikasi berbahaya ini di internet, serta pembuatan beberapa grup Telegram yang mulai mencari mitra afiliasi.
Di Telegram, aplikasi perpesanan multiplatform gratis dan populer dengan fitur privasi dan enkripsi yang ditingkatkan, ditemukan lusinan grup semacam itu yang mempromosikan salinan berbahaya dari dompet seluler cryptocurrency.
ESET berasumsi bahwa grup ini dibuat oleh pelaku di balik skema ini untuk mencari mitra distribusi lebih lanjut, menyarankan opsi seperti pemasaran jarak jauh, media sosial, iklan, SMS, saluran pihak ketiga, situs web palsu, dll. Semua grup ini berkomunikasi dalam bahasa Mandarin. Berdasarkan informasi yang diperoleh dari kelompok-kelompok ini, seseorang yang mendistribusikan malware ini ditawari komisi 50 persen atas isi dompet yang dicuri.
|
Baca juga: Penipuan Cryptocurrency Paling Umum |
Perbedaan perilaku di iOS dan Android
Aplikasi berbahaya berperilaku berbeda tergantung pada sistem operasi tempat aplikasi tersebut diinstal.
Di Android, tampaknya menargetkan pengguna cryptocurrency baru yang belum menginstal aplikasi dompet resmi di perangkat mereka. Dompet yang ditrojan memiliki nama paket yang sama dengan aplikasi yang sah; namun, mereka ditandatangani menggunakan sertifikat yang berbeda.
Artinya, jika dompet resmi sudah terpasang di smartphone Android, aplikasi berbahya tersebut tidak dapat menimpanya karena kunci yang digunakan untuk menandatangani aplikasi palsu berbeda dengan aplikasi yang sah. Itu adalah model keamanan standar aplikasi Android, di mana versi aplikasi yang tidak asli tidak dapat menggantikan versi aslinya.
Namun, di iOS, korban dapat menginstal kedua versi yang sah dari App Store dan yang jahat dari situs web karena mereka tidak berbagi ID bundel yang sama. Untuk perangkat Android, situs menyediakan opsi untuk mengunduh aplikasi berbahaya secara langsung dari server mereka bahkan ketika pengguna mengeklik tombol “Dapatkan di Google Play”. Setelah diunduh, aplikasi harus diinstal secara manual oleh pengguna.
Mengenai iOS, aplikasi berbahaya ini tidak tersedia di App Store; mereka harus diunduh dan diinstal menggunakan profil konfigurasi, yang menambahkan sertifikat penandatanganan kode tepercaya. Dengan menggunakan profil ini, Anda dapat mengunduh aplikasi yang tidak diverifikasi oleh Apple dan dari sumber di luar App Store.
Apple memperkenalkan profil konfigurasi di iOS 4 dan bermaksud menggunakannya dalam pengaturan perusahaan dan pendidikan untuk memungkinkan administrator jaringan atau sistem menginstal aplikasi khusus di seluruh situs tanpa harus mengunggahnya dan memverifikasinya melalui prosedur App Store biasa. Dan Aplikasi yang diaktifkan melalui profil konfigurasi harus diinstal secara manual.
|
Baca juga: Safemoon Kepanjangan Tangan Penipuan Cryptocurrency |
Aplikasi dompet palsu ditemukan di Google Play store
Berdasarkan permintaan ESET sebagai mitra Aliansi Pertahanan Aplikasi Google, pada Januari 2022, Google menghapus 13 aplikasi berbahaya yang ditemukan di toko Google Play yang meniru aplikasi Jaxx Liberty Wallet yang sah, mereka dipasang lebih dari 1.100 kali.
Salah satu aplikasi dalam daftar ini menggunakan situs web palsu yang meniru Jaxx Liberty sebagai perantara atau vektor distribusi. Karena pelaku di balik aplikasi jahat ini berhasil menempatkannya di toko resmi Google Play, situs web palsu itu mengarahkan pengguna untuk mengunduh versi selulernya dari Google Play store dan tidak harus menggunakan toko aplikasi pihak ketiga sebagai perantara. Ini menjadi trik yang berhasil untuk meyakinkan calon korban bahwa aplikasi tersebut sah karena tersedia untuk diunduh dari toko aplikasi resmi.
Beberapa dari aplikasi ini menggunakan homoglyph, teknik yang lebih umum digunakan dalam serangan phising, mereka mengganti karakter dalam nama mereka dengan yang mirip dari rangkaian karakter Unicode. Ini kemungkinan besar akan melewati filter nama aplikasi untuk aplikasi populer yang dibuat oleh pengembang tepercaya.
Dibandingkan dengan aplikasi dompet trojan yang dijelaskan di atas, aplikasi ini tidak memiliki fungsionalitas yang sah, tujuannya hanya untuk mendapatkan data pemulihan pengguna dan mengirimkannya ke server pelaku atau ke grup obrolan Telegram rahasia.
|
Baca juga: Reputasi Cryptocurrency Didorong Kejahatan Ransomware |
Pencegahan dan pencopotan
Peneliti ESET sering menyarankan pengguna untuk mengunduh dan menginstal aplikasi hanya dari sumber resmi, seperti Google Play Store atau Apple App Store. Solusi keamanan seluler yang andal harus dapat mendeteksi ancaman ini di perangkat Android misalnya, produk ESET mendeteksi ancaman ini sebagai Android/FakeWallet.
Dalam kasus Google Play Store, ESET memegang komitmennya untuk melindungi ekosistem seluler lebih jauh, bermitra dengan vendor keamanan lain dan Google di App Defense Alliance untuk membantu dalam pemeriksaan aplikasi yang diajukan untuk dicantumkan di Google Play.
Pada perangkat iOS, sifat sistem operasi jika tidak di-jailbreak, memungkinkan aplikasi berkomunikasi dengan aplikasi lain hanya dengan cara yang sangat terbatas. Itulah sebabnya untuk iOS, tidak ada solusi keamanan yang ditawarkan, karena mereka dapat memindai sendiri. Oleh karena itu, mengunduh aplikasi hanya dari App Store resmi, berhati-hati dalam menerima profil konfigurasi, dan menghindari jailbreak pada platform ini adalah rekomendasi pencegahan yang paling disarankan.
Jika salah satu dari aplikasi ini sudah terpasang di perangkat Anda, proses penghapusannya berbeda berdasarkan platform seluler. Di Android, terlepas dari sumber tempat Anda mengunduh aplikasi berbahaya resmi atau tidak resmi, jika ada keraguan tentang keabsahan sumbernya, ESET sarankan untuk mencopot pemasangan aplikasi. Tak satu pun dari malware yang dijelaskan dalam posting blog ini meninggalkan backdoor atau sisa apa pun di perangkat setelah dihapus.
Di iOS, setelah mencopot pemasangan aplikasi jahat, Anda juga perlu menghapus profil konfigurasinya dengan membuka Settings → General → VPN & Device Management. Di bawah CONFIGURATION PROFILE Anda akan dapat menemukan nama profil yang perlu dihapus.
Jika Anda sudah membuat dompet baru, atau memulihkan dompet lama menggunakan aplikasi jahat seperti itu, ESET menyarankan segera untuk membuat dompet baru dengan perangkat dan aplikasi tepercaya dan mentransfer semua dana ke dalamnya.
Ini diperlukan karena pelaku telah memperoleh frase awal dan dapat mentransfer dana yang tersedia kapan saja. Mengingat pelaku mengetahui riwayat semua transaksi korban, mereka mungkin tidak segera mencuri dana dan mungkin lebih baik menunggu kesempatan yang lebih baik setelah lebih banyak koin disimpan.
|
Baca lainnya: |
