Bangkitnya Trojan Android Loki

Pengembang malware trojan Android Loki beraksi lagi dengan merilis versi terbaru dari trojan berbahaya ini. Dengan kemampuan baru yang dimilikinya, trojan Loki mampu menginfeksi library OS Android melengkapi kemampuan sebelumnya yang mampu menginfeksi proses inti sistem operasi.

Mendengar namanya mungkin orang akan teringat dengan ransomware Locky, tapi jelas keduanya sangat berbeda. Trojan Android Loki pertama kali terlihat pada bulan Februari 2016. Dalam deteksi ESET malware ini dikenal sebagai Android/Spy.Loki dan berhasil dikenali sejak tanggal 10 Februari 2016.

Loki adalah salah satu contoh pertama di mana malware telah menemukan cara untuk menginfeksi perangkat tepat di dalam proses inti sistem operasi. Sehingga menimbulkan ketakutan baru lahirnya malware sejenis yang memiliki kemampuan sama.

Loki Sebar Iklan Tak Bertuan

Kelebihan lain Loki adalah melakukan operasi dengan hak akses root di mana seluruh proses inti OS dikuasai, sehingga mampu menggunakan keuntungan ini untuk menebar iklan di komputer korban.

Trojan ini bisa melakukan banyak hal, selain mengontrol hak admin, ia juga bisa mencuri semua jenis konten dari perangkat yang terinfeksi, menghentikan notifikasi, mencegat komunikasi atau diam-diam mengambil data penting milik korban.

Dan anehnya, dengan demikian banyak kemampuan Loki, pelaku di balik trojan android ini hanya menggunakannya untuk mengunduh aplikasi lain dan menampilkan iklan-iklan, menunjukkan pelaku mengincar pendapatan dari iklan yang ditebar.

Target Baru Loki

Februari tahun ini, ESET berhasil mendeteksi Loki sejak awal kemunculannya dan kini ia terdeteksi lagi dengan varian baru dengan menargetkan inti sistem operasi android library.

Proses infeksi juga sangat berbeda dari varian Loki sebelumnya, artinya penjahat siber di balik Loki terus menyempurnakan senjatanya, menempa proses infeksi untuk mendapat hasil lebih baik termasuk menyembunyikan kehadiran agar terhindar masuk daftar hitam perusahaan keamanan siber.

Di sisi lain, masih ada benang merah antar varian awal dan yang terbaru, keduanya memiliki kesamaan bergantung pada keawaman pengguna untuk menginstal aplikasi android dari toko pihak ketiga. Aplikai ini berisi loki untuk mengekploitasi hak admin sehingga dapat mengotak-atik file inti android OS.

Sementara, perbedaan lain antara dua versi Loki Februari dan varian Desember adalah file yang mereka targetkan. versi Februari menargetkan proses “system_server”

Varian Desember memodifikasi sistem library dan menambahkan muatan yang salah satu dari tiga komponen Loki, libz.so, libcutils.so or liblog.so. Sehingga setiap kali OS android membutuhkan library, ia kan memuat trojan Loki dan memulai aktivitasnya dengan mengontrol root, standar penggunaan di mana semua inti library jalankan.

Tapi uniknya, baik versi Februari maupun Desember sama-sama menggunakan kemampuannya hanya untuk menampilkan iklan. Padahal jika Loki akan digunakan sebagai trojan perbankan, ransomware, atau siber toolkit mata-mata, malware ini akan menjadi kekuatan yang harus diperhitungkan. Karena Loki menjerat dirinya jauh di dalam file OS Android, satu-satunya cara untuk menghapus trojan ini adalah untuk menginstal ulang (reflash) seluruh sistem operasi.
Analisis Trojan Android Loki

Trojan Loki memang muncul di bulan Februari dan Desember, tapi di awal penampakannya, Loki terbagi dalam dua varian, jadi secara keseluruhan ada tiga jenis Loki yang pernah beredar di internet, berikut ulasan menyeluruh tentang kemampuan ketiganya:

1. Android Loki 1Android Loki 1 dapat menyembunyikan dirinya dalam proses sistem Andrioid, dan sebagai hasilnya ia mampu beroperasi sebagai aplikasi root dan juga memiliki kontrol pengguna penuh dari sistem android yang terinfeksi. Android Loki 1 dapat diunduh dari Google Play Store atau melalui link affilate khusus yang berisi referensi ke akun hacker Afiliasi ke aplikasi, para hacker mendapatkan uang setiap kali orang mengklik pada link. Fungsi berbahaya lainnya dari Android Loki 1 adalah:

• Penghapusan otomatis dan instalasi aplikasi
• Kemampuan untuk mengaktifkan atau menonaktifkan aplikasi android lainnya dan komponen mereka.
• Dapat menghentikan proses android.
• Kirim pemberitahuan.
• Kemampuan untuk melacak klik dan aktivitas pengguna.
• Pembaruan otomatis komponennya.

2. Android Loki 2

Virus kedua dikenal sebagai Android Loki 2 ketika diinstal pada perangkat, bisa mengontrol melalui server kontrol manajemen hacker dan juga dapat digunakan untuk menampilkan iklan. Selain itu, Trojan dapat mengumpulkan dan mengirimkan informasi pribadi seperti:

• imei
• IMSI Perangkat
• Alamat Mac
• MCC identifier (Mobile Country Code) kode mobile negara
  ID MNC (Mobile Network Code) kode network mobile
• Versi Sistem Operasi
• Resolusi Layar
• RAM (total and free ram)
• Versi Kernel
• Model and Manufacturer
• Versi firmware
• Serial Number.

Android Loki 2 fungsi utamanya adalah untuk menampilkan iklan dari server hacker. Mengklik pada pemberitahuan iklan yang ditampilkan oleh Trojan dapat mengakibatkan baik mengarahkan Anda ke situs tertentu atau memaksa pengguna untuk menginstal aplikasi.
3. Android Loki 3

Trojan ketiga yang dikenal sebagai Android Loki 3 (Desember) bertindak sebagai aplikasi root untuk dua loki lainnya, memainkan peran server untuk menjalankan script shell dan melakukan perintah sebagai superuser (root)

3 Trojan Android.Loki virus menempatkan beberapa file tersembunyi dan komponen mereka ke dalam folder sistem Android, di mana antivirus tidak memiliki akses, bahkan factory reset atau penghapusan sistem tidak akan menghapus virus.
Dari penjabaran di atas ketiga Loki mempunyai hubungan saling kait mengkait yang tidak bisa dilepaskan, ketiga memicu rantai reaksi yang saling menguatkan satu sama lain dan meningkatkan efektifitas kerja mereka dalam menyebarkan iklan. Namun sistem kerja yang diterapkan oleh Trojan Android Loki tidak sepenuhnya sempurna, mereka dapat dihentikan selama dapat memahami pola serangan mereka. ESET memiliki sebuah sistem Anti Ransomware yang dapat mencegah segala macam malware berkeliaran bebas, apalagi Loki menggunakan script shell yang bisa dihentikan menggunakan ESET Anti Ransomware.
Sumber berita:

www.bleepingcomputer.com
www.phonetweakers.com