Malware Android Manipulasi Plugin Framework

Malware Android berevolusi menyesuaikan diri dengan perubahan pada dunia digital, reaksi alamiah pengembang malware yang ingin terus mencari jalan ke setiap lubang keamanan sekecil apa pun itu, upaya keras mereka terlihat dalam enam bulan terakhir, dengan beberapa malware menerapkan perilaku berbahaya melalui plugin framework.

Beberapa nama plugin framework seperti DroidPlugin, parallel Space dan VirtualApp beberapa bulan terakhir ini telah disalahgunakan untuk menyebarkan malware Android, khususnya adware.

Peran plugin framework untuk membantu mengakomodasi OS Android dengan fitur non native. Peran utama mereka adalah untuk memberikan dukungan pada virtualisasi, memungkinkan OS Android menjalankan mesin virtual di mana aplikasi lain yang sama masih dapat berjalan.

Secara default, Android hanya akan menjalankan satu aplikasi saja, dengan kehadiran plugin framework keterbatasan itu dapat diatasi, ini alasan mengapa perlu tool semacam ini dalam Android. Plugin framework pula yang membuat kita dapat login pada beberapa aplikasi media sosial sekaligus seperti login Facebook atau WhatsApp dalam satu waktu.

Aplikasi lain juga menggunakan plugin framework untuk mendukung “hot patching” suatu teknik yang memungkinkan pengiriman update aplikasi dari pihak ketiga di luar Google Play Store.

Plugin Framework Sebar Malware

Fleksibilitas fungsi plugin framework menjadi jalan tol untuk memudahkan peran banyak fitur untuk bersinergi dengan Android satu sisi sangat menguntungkan, tapi di balik manfaat yang diberikan pengembang malware menemukan ruang untuk dieksploitasi dari plugin framework.

Pada Oktober 2016, penjahat siber pernah berhasil memanfaatkan VirtualApp untuk melakukan serangan phishing yang ditujukan kepada pengguna Twitter dan WhatsApp. Kemudian November 2016, PluginPhantom sebuah trojan Android baru menggunakan DroidPlugin framework untuk membagi beberapa perilaku berbahaya ke beberapa plugin untuk mempersulit deteksi.

Bulan Januari 2017, Versi baru malware HummingBad yang dikenal dengan nama HummingWhale, menggunakan DroidPlugin untuk menginstal aplikasi tidak diinginkan ke dalam mesin virtual sehingga memberikan pelaku keuntungan dari skema pay per install.

Malware Baru dan Plugin Framework

Aplikasi-aplikasi baru yang tersedia di Google Play Store banyak di antaranya terinfeksi oleh HummingWhale. Aplikasi tersebut tetap memiliki fungsi aslinya tapi dengan perilaku berbahaya. Perilaku berbahaya yang akan memposisikan diri dalam mesin virtual yang diciptakan oleh DroidPlugin Framework.

Dalam beberapa kasus, malware akan menggunakan plugin framework untuk mulai meluncurkan aplikasi lain yang serupa tetapi kemudian yang ditampilkan malah iklan-iklan. Di contoh kasus lain, malware melangkah lebih jauh dengan menginstal bahkan mempromosikan aplikasi lain.

Untungnya, aplikasi ini hanya memiliki jangka waktu pendek dalam perangkat, karena mereka secara otomatis akan dihapus setelah mesin virtual mengakhiri keberadaan perilaku berbahay dari aplikasi legitimate ini.

Visualisasi Malware dalam Aplikasi

Pengguna dapat mengenali jika sebuah aplikasi menampilkan visualisasi untuk menunjukkan iklan dan menginstal aplikasi tidak diinginkan dengan mengakses layar OS Android yang menunjukkan aplikasi sedang berjalan.

Seperti gambar di atas menjadi bukti dua aplikasi serupa yang berjalan. Sementara satu aplikasi terlihat sah, dan yang lain jelas menunjukkan iklan.

Aplikasi-aplikasi ini sudah ditarik oleh Google dari Google Play Store setelah terdeteksi memiliki perilaku berbahaya. Saat ini, hanya adware Android menggunakan plugin framework.

Sementara trojan perbankan mobile mendapat manfaat dari penggunaan tool virtualisasi, karena hal ini bisa menjadi cara mudah untuk menyisipkan perilaku berbahaya dari aplikasi yang legitimate.

Sumber berita:

https://www.bleepingcomputer.com