Bagi para user yang aktif menggunakan aplikasi mobile banking mulai sekarang harus lebih berhati-hati pada Android Banking Trojan, apalagi malware ini ikut meniru menggunakan motif manipulasi dengan menyamar menjadi aplikasi yang resmi seperti Flash Player. Teknik penyamaran yang sedang menjadi tren di kalangan penjahat cyber untuk menipu user agar menyerahkan data penting akun banking mobile mereka.
Dalam pantauan ESET, aktivitas Banking Trojan ini sedang melakukan operasi besar-besaran di seluruh bank besar di Australia, Selandia Baru dan Turki. Banking malware yang dideteksi ESET sebagai Android/Spy.Agent.SI memiliki kemampuan untuk mencuri data penting login dari 20 aplikasi mobile banking. Daftar bank yang menjadi sasaran termasuk bank besar di tiga negara yang menjadi target utama secara keseluruhan dapat dilihat pada bagian akhir artikel ini. Kelebihan lain yang tak kalah menakutkan adalah kemampuan memblokir komunikasi via SMS atau dengan kata lain malware mampu untuk bypass SMS yang digunakan sebagai two factor authentication. Sangat Berbahaya!
Di Indonesia, kasus yang menyerupai sudah pernah terjadi namun masih dalam sistem operasi windows. Cara kerja yang mirip menjadikan model trojan ini digemari oleh pengembang malware dengan tujuan ekonomi. Saat itu bank beberapa besar juga menjadi target pencurian akses dan dana nasabahnya,
Analisa
Dari hasil analisa yang dilakukan oleh ESET, malware menyamar sebagai Flash Player dengan ikon yang terlihat sama seperti aslinya, yang keberadaannya diketahui berada pada beberapa server. Server ini terdaftar sejak akhir Januari dan Februari 2016, menariknya jalur URL ke file malicious APK akan meregenerasi setiap jam, mungkin untuk menghindari deteksi URL oleh software antivirus.
Gambar 1 Hosting situs Berbahaya Android/Spy.Agent.SI
Setelah mengunduh dan menginstal aplikasi, user diminta untuk mengizinkan aplikasi mendapatkan hak akses. Mekanisme self defence ini mencegah malware terhindar dari uninstal atau dihapus dari perangkat. Ikon Flash Player kemudian akan bersembunyi dari pandangan user, akan tetapi tetap aktif dibalik layar.
Selanjutnya malware melakukan komunikasi dengan remote server. Komunikasi antara klien dan server di encoded dengan metode base64. Pertama, malware akan mengirim informasi tentang Android seperti jenis model, nomor IMEI, bahasa, versi SDK dan informasi apakah administrator diaktifkan, Informasi ini dikirim ke server setiap 25 detik. Malware kemudian mengumpulkan nama-nama aplikasi yang terinstal (termasuk aplikasi mobile banking) dan mengirim semua ke remote server. Jika diantara aplikasi terinstal ada yang merupakan target dari malware, server memberikan daftar 49 target aplikasi, meskipun semua tidak langsung diserang.
Manifestasi dari malware itu sendiri adalah sebagai overlay, muncul di atas aplikasi perbankan, aktivitas phishing ini berperilaku seperti lock screen, yang tidak bisa dihentikan tanpa memasukkan kredensial login user. Malware tidak memverifikasi kredibilitas data yang dimasukkan melainkan mengirimnya ke remote server, dimana saat itu terjadi titik malicious overlay menutup. Malware bukan hanya mengincar data penting aplikasi banking mobile tetapi juga data pada akun Google.
Versi pertama memang sederhana dengan tujuan jahat yang mudah diidentifikasi. Namun versi selanjutnya lebih membingungkan dan mengenkripsi.
Proses Manipulasi
Apabila target aplikasi diluncurkan, malware akan memicu login screen palsu yang melapisi atau menindih aplikasi mobile banking yang asli tanpa opsi untuk menutupnya.
Gambar 2 Komunikasi dengan Server
Setelah user mengisi data pribad mereka, login screen palsu akan menutup dan aplikasi mobile banking yang asli akan muncul.
Seperti disebutkan sebelumnya, semua pertukaran informasi antara perangkat dan server di encoded, kecuali untuk kredensial tercuri yang dikirim dalam teks biasa.
Gambar 3 – Kredensial dikirim dengan Teks Biasa
Dengan kemampuan mencegat kode SMS 2FA (two factor authetication) dengan mengirim semua pesan teks yang diterima ke server jika diminta. Situasi ini memungkinkan pelaku untuk mendapatkan semua pesan SMS dari bank dan sesegera mungkin menghapus semua dari perangkat korban agar tidak menimbulkan kecurigaan.
Cara Menghapus Malware
Untuk proses uninstall malware ini, ada dua skenario berbeda yg dapat digunakan:
-
Pertama user harus menonaktifkan hak akses administrator dan menghapus Flash Player palsu dari perangkat. Menonaktifkan hak akses administrator bisa memiliki dua kemungkinan. Yang sederhana dengan cara mengaktifkan hak akses administrator di Settings -> Security -> Device administrators -> Flash Player -> Deactivate lalu abaikan peringatan palsu dan pilih OK.
Baru setelahnya user mampu uninstal malware via Settings -> Apps/Application manager -> Flash Player -> Uninstall.
Proses penghapusan menjadi lebih rumit bilamana android sudah menerima perintah dari server untuk menonaktifkan hak akses administrator. Saat user berusaha melakukannya, malware akan membuat overlay dibagian depan untuk mencegah user mengklik tombol konfirmasi maka dengan begitu upaya penonaktifan akan gagal.
-
Metode lain atau skenario kedua untuk mengamankan hak akses administrator adalah masuk ke Safe Mode. Ketika booting ke Safe Mode, aplikasi third party tidak akan di load atau dieksekusi dan user dapat dengan aman menonaktifkan hak akses administrator. seperti dalam skenario pertama, selanjutnya aplikasi dapat dihapus. ESET mendeteksi malware ini sebagai Android/Spy.Agent.SI.
Information Tambahan
Malware ini dideteksi ESET Mobile Security dengan nama Android/Spy.Agent.SI
C&C servers:
http://94.198.97.202
http://46.105.95.130
http://181.174.164.138
Download servers:
http://flashplayeerupdate.com/download/
http://adobeflashplaayer.com/download/
http://adobeuploadplayer.com/download/
http://adobeplayerdownload.com/download/
http://adobeupdateplayer.com/download/
http://adobeupdateplayeer.com/download/
http://adobeupdateflash11.com/download/
Target Bank:
Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası and Ziraat Bankası.
Targeted package names:
org.westpac.bank
com.westpac.cashtank
au.com.westpac.onlineinvesting
org.banking.westpac.payway
com.rev.mobilebanking.westpac
com.westpac.illuminate
com.bendigobank.mobile
com.commbank.netbank
org.stgeorge.bank
au.com.nab.mobile
au.com.bankwest.mobile
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
finansbank.enpara
com.pozitron.iscep
com.wf.wellsfargomobile
com.wf.wellsfargomobile.tablet
com.wellsFargo.ceomobile
com.wellsfargo.mobile.merchant
com.tmobtech.halkbank
com.ziraat.ziraatmobil
au.com.mebank.banking
com.anz.android.gomoney
nz.co.anz.android.mobilebanking
nz.co.westpac
nz.co.asb.asbmobile
nz.co.bnz.droidbanking
nz.co.kiwibank.mobile
com.ykb.android
com.vakifbank.mobile
com.garanti.cepsubesi
biz.mobinex.android.apps.cep_sifrematik
com.paypal.android.p2pmobile
com.ebay.mobile
com.skype.raider
com.whatsapp
com.google.android.googlequicksearchbox
com.android.vending
com.google.android.music
com.google.android.apps.plus
com.android.chrome
com.google.android.apps.maps
com.google.android.youtube
com.google.android.apps.photos
com.google.android.apps.books
com.google.android.apps.docs
com.google.android.apps.docs.editors.docs
com.google.android.videos
com.google.android.gm
Hashes
C31E5E31210B08BA07AC6570814473C963A2EF81
6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728
4A788D05DD8849CD60073F15255C166F06611475
EE88D05CF99D8C534FBA60D1DA9045FB7526343A
26A2B328F194B6B75B2CC72705DC928A4260B7E7
4AD1DBB43175A3294A85957E368C89A5E34F7B8C
DB228BB5760BD7054E5E0A408E0C957AAC72A89F
266B572B093DB550778BA7824E32D88639B78AFC
E4FA83A479642792BC89CA3C1553883066A19B6C
644644A30DE78DDCD50238B20BF8A70548FF574C
F1AAAE29071CBC23C33B4282F1C425124234481C
CAC078C80AD1FF909CC9970E3CA552A5865C7963
1C8D0E7BB733FBCEB05C40E0CE26288487655738
FE6AC1915F8C215ECEC227DA6FB341520D68A9C7
BD394E0E626CE74C938DDDF0005C074BC8C5249D
D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9
A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372
0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F
9FD295721C1FF87BC862D19F6195FDDE090524D9
57D0870E68AC1B508BC83F24E8A0EBC624E9B104
521F9767104C6CBB5489544063FCE555B94025A6
E5F536408DBB66842D7BB6F0730144FDD877A560
3FA6010874D39B050CA6CA380DAD33CA49A8B821
Referensi: http://www.welivesecurity.com/2016/03/09/android-trojan-targets-online-banking-users/
