Di Google Play Store beredar sebuah Aplikasi berbahaya, aplikasi tersebut mampu melakukan berbagai hal berbahaya yang merugikan, seperti menghapus akun bank korban atau dompet cryptocurrency, dan mengambil alih email atau akun media sosial.
Para pakar keamanan ESET menyebutnya sebagai DEFENSOR ID, aplikasi ini dilengkapi dengan kemampuan mencuri informasi standar, dan setelah instalasi hanya memerlukan sebuah satu klik dari korban dengan mengaktifkan Layanan Aksesibilitas Android untuk merilis sepenuhnya fungsionalitas berbahaya aplikasi.
Aplikasi DEFENSOR ID berhasil masuk ke Google Play store yang dijaga ketat berkat kemampuan silumannya. Pembuatnya meminalisir semua elemen berbahaya dalam aplikasi dengan menghapus semua fungsi yang berpotensi berbahaya kecuali satu: menyalahgunakan Layanan Aksesibilitas.
Layanan Aksesibilitas telah lama dikenal sebagai esensi kelemahan dari sistem operasi Android. Solusi keamanan dapat mendeteksinya dalam kombinasi yang tak terhitung jumlahnya dengan izin dan fungsi mencurigakan lainnya, atau fungsi berbahaya, tetapi ketika dihadapkan dengan tidak adanya fungsi tambahan atau izin, semua gagal memicu alarm pada ID DEFENSOR.
Yang dimaksud dengan “semua” adalah semua mekanisme keamanan yang menjaga toko aplikasi Android resmi (termasuk mesin deteksi anggota App Defense Alliance) dan semua vendor keamanan yang berpartisipasi dalam program VirusTotal.
Spesifikasi DEFENSOR ID
DEFENSOR ID dirilis pada 3 Februari 2020 dan terakhir diperbarui ke v1.4 pada 6 Mei 2020. Versi terbaru dianalisis di sini; kami tidak dapat menentukan apakah versi sebelumnya juga berbahaya. Menurut profilnya di Google Play aplikasi ini mencapai 10 unduhan saja. ESET melaporkannya ke Google pada 16 Mei 2020 dan sejak 19 Mei 2020 aplikasi tidak lagi tersedia di Google Play.
Nama pengembang yang digunakan, GAS Brasil, terlepas dari nama negaranya, nama aplikasi mungkin dimaksudkan untuk menyiratkan hubungan dengan solusi anti penipuan bernama GAS Tecnologia.
Perangkat lunak keamanan itu umumnya diinstal pada komputer di Brasil karena beberapa bank mengharuskannya untuk masuk ke perbankan online mereka. Namun, ada juga versi bahasa Inggris dari aplikasi DEFENSOR ID, selain itu, aplikasi itu tidak memiliki batasan geografis maupun bahasa, artinya sasaran serangan dapat meluas pada siapa saja tidak negara tertentu.
Lebih jauh dari tautan GAS Tecnologia yang disarankan, aplikasi ini menjanjikan keamanan yang lebih baik bagi penggunanya. Deskripsi dalam bahasa Portugis menjanjikan lebih banyak perlindungan untuk aplikasi pengguna, termasuk enkripsi end to end. Culasnya, aplikasi tersebut terdaftar di bagian edukasi atau pendidikan.
Setelah memulai, DEFENSOR ID meminta izin berikut:
-
izinkan modifikasi pengaturan sistem
-
mengizinkan menggambar di aplikasi lain, dan
-
mengaktifkan layanan aksesibilitas.
Jika pengguna yang tidak curiga memberikan izin, trojan dapat membaca teks apa pun yang ditampilkan di aplikasi apa pun yang diluncurkan oleh pengguna dan mengirimkannya ke peretas.
Ini berarti peretas dapat mencuri kredensial korban untuk masuk ke aplikasi, SMS dan pesan email, menampilkan kunci pribadi cryptocurrency, dan bahkan kode 2FA yang dihasilkan perangkat lunak.
Fakta bahwa trojan dapat mencuri kredensial korban dan juga dapat mengontrol pesan SMS dan menghasilkan kode 2FA berarti operator DEFENSOR ID dapat mem-bypass otentikasi dua faktor. Ini membuka pintu untuk mengendalikan sepenuhnya rekening bank korban.
Untuk memastikan trojan selamat dari restart, ia menyalahgunakan layanan aksesibilitas yang sudah diaktifkan yang akan meluncurkan trojan segera setelah restart.
Analisis ESET menunjukkan trojan DEFENSOR ID dapat menjalankan 17 perintah yang diterima dari server yang dikendalikan peretas seperti mencopot aplikasi, meluncurkan aplikasi dan kemudian melakukan tindakan klik/ketuk yang dikendalikan dari jarak jauh.
Pada tahun 2018, ESET melihat perilaku serupa, tetapi semua tindakan klik dikodekan dan hanya cocok untuk aplikasi pilihan pelaku.
Dalam hal ini, mereka bisa mendapatkan daftar semua aplikasi yang diinstal dan kemudian meluncurkan aplikasi korban pilihan mereka untuk mencuri kredensial atau melakukan tindakan jahat dari jarak jauh, mis. Mengirim dana melalui transfer kawat.
Dari analisa ESET juga diketahui bahwa alasan trojan DEFENSOR meminta pengguna untuk mengizinkan “Modify system settingsā atau ubah pengaturan sistem.
Selanjutnya, malware akan mengubah batas waktu layar menjadi 10 menit. Ini berarti, timer menyediakan banyak waktu bagi malware untuk melakukan operasi aplikasi dalam jarak jauh yang berbahaya, kecuali jika korban mengunci perangkat mereka melalui tombol perangkat keras, Jika perangkat terkunci, malware tidak dapat membukanya.
Bersamaan dengan aplikasi DEFENSOR berbahaya, aplikasi jahat lain bernama Defensor Digital ditemukan. Kedua aplikasi berbagi server C&C yang sama, tetapi ESET tidak dapat menyelidiki yang terakhir karena sudah dihapus dari Google Play store.
Sumber berita:
https://www.welivesecurity.com/
