Ketika Google membatasi penggunaan izin SMS dan Log Panggilan di aplikasi Android pada bulan Maret 2019, salah satu efek positifnya adalah aplikasi pencuri kredensial kehilangan pilihan untuk menyalahgunakan izin ini karena memintas mekanisme Two Factor Authentication (2FA) berbasis SMS.
Tapi apakah para penjahat siber menyerah dan bergelimang putus asa, tentu saja tidak! Mereka menemukan cara lain bagaimana memintas atau by pass dengan gaya baru. Hal ini diketahui oleh peneliti ESET dalam sebuah riset, dimana ditemukan aplikasi jahat yang mampu mengakses ke One Time Password (OTP) dalam pesan SMS 2FA tanpa menggunakan izin SMS, menghindari batasan terbaru Google. Teknik ini juga berfungsi untuk mendapatkan OTP dari beberapa sistem 2FA berbasis email.
Aplikasi menyamar sebagai pertukaran cryptocurrency Turki BtcTurk dan melakukan phising untuk kredensial login ke layanan. Namun aplikasi tidak mencegat pesan SMS untuk memintas perlindungan 2FA pada akun dan transaksi pengguna, melainkan mengambil OTP dari notifikasi yang muncul di layar perangkat yang dikuasai. Selain membaca notifikasi 2FA, aplikasi juga dapat mengabaikannya untuk mencegah korban melihat transaksi penipuan yang terjadi. Malware tersebut terdeteksi oleh produk ESET sebagai Android/FakeApp.KP, merupakan malware pertama yang diketahui menghindari pembatasan izin SMS.
Aplikasi berbahaya.
Aplikasi berbahaya pertama yang ESET analisis diunggah ke Google Play pada 7 Juni 2019 sebagai “BTCTurk Pro Beta” di bawah nama pengembang “BTCTurk Pro Beta”. Aplikasi diinstal oleh lebih dari 50 pengguna sebelum dilaporkan oleh ESET ke tim keamanan Google. BtcTurk adalah pertukaran mata uang digital Turki, aplikasi seluler resminya ditautkan pada situs web pertukaran dan hanya tersedia untuk pengguna di Turki.
Aplikasi kedua diunggah pada 11 Juni 2019 sebagai “BtcTurk Pro Beta” dengan nama pengembang “BtSoft”. Meskipun kedua aplikasi menggunakan kedok yang sangat mirip, mereka tampaknya merupakan karya pelaku yang berbeda. Kami melaporkan aplikasi pada 12 Juni 2019 ketika aplikasi itu diinstal oleh kurang dari 50 pengguna.
Setelah aplikasi kedua ini dihapus, penyerang yang sama mengunggah aplikasi lain dengan fungsi yang identik, kali ini bernama “BTCTURK PRO” dan menggunakan nama pengembang, ikon, dan tangkapan layar yang sama. Kami melaporkan aplikasi pada 13 Juni 2019.
Teknik by pass 2FA novel
Setelah instalasi, kedua aplikasi yang dijelaskan di bagian atas mengikuti prosedur yang sama. Setelah aplikasi diluncurkan, ia meminta izin bernama Akses pemberitahuan. Izin ini memungkinkan aplikasi untuk membaca pemberitahuan yang ditampilkan oleh aplikasi lain yang diinstal pada perangkat, mengabaikan pemberitahuan itu, atau mengklik tombol yang dikandungnya.
Izin akses Pemberitahuan diperkenalkan di Android versi 4.3 (Jelly Bean), artinya hampir semua perangkat Android yang aktif rentan terhadap teknik baru ini. Kedua aplikasi BtcTurk palsu membutuhkan Android versi 5.0 (KitKat) atau lebih tinggi untuk dijalankan, dengan demikian mereka dapat mempengaruhi sekitar 90% perangkat Android.
Setelah pengguna memberikan izin ini, aplikasi menampilkan formulir login palsu yang meminta kredensial untuk BtcTurk
Setelah kredensial dimasukkan, pesan kesalahan palsu dalam bahasa Turki ditampilkan. Terjemahan bahasa Inggris dari pesan tersebut adalah: “Opss! Karena perubahan yang dibuat dalam sistem Verifikasi SMS, untuk sementara kami tidak dapat melayani aplikasi seluler kami. Setelah pekerjaan pemeliharaan, Anda akan diberitahu melalui aplikasi. Terima kasih atas pengertian Anda.”
Di balik layar, kredensial yang dimasukkan dikirim ke server pelaku. Berkat izin akses Pemberitahuan, aplikasi berbahaya ini dapat membaca pemberitahuan yang datang dari aplikasi lain, termasuk aplikasi SMS dan email. Aplikasi ini memiliki filter untuk menargetkan hanya pemberitahuan dari aplikasi yang namanya mengandung kata kunci “gm, yandex, mail, k9, outlook, sms, messaging”.
Konten yang ditampilkan dari semua pemberitahuan dari aplikasi yang ditargetkan dikirim ke server pelaku. Konten dapat diakses oleh pelaku terlepas dari pengaturan yang digunakan korban untuk menampilkan pemberitahuan pada layar kunci. Para peretas di balik aplikasi ini juga dapat mengabaikan notifikasi yang masuk dan mengatur mode dering perangkat ke diam, yang dapat mencegah korban melihat transaksi penipuan yang terjadi.
Adapun keefektifan dalam melewati 2FA, teknik ini memang memiliki keterbatasan, pelaku hanya dapat mengakses teks yang sesuai dengan bidang teks pemberitahuan, dan dengan demikian tidak menjamin itu termasuk OTP. Nama aplikasi yang ditargetkan menunjukkan bahwa baik SMS dan email 2FA menarik bagi pelaku di balik malware ini. Dalam SMS 2FA, pesan-pesannya pada umumnya pendek, dan OTP cenderung masuk dalam pesan notifikasi. Namun dalam email 2FA, panjang dan format pesan jauh lebih bervariasi, berpotensi memengaruhi akses peretas ke OTP.
Perkembangan teknik
Baru minggu lalu, ESETmenganalisis aplikasi jahat yang meniru pertukaran cryptocurrency Turki Koineks. Sangat menarik bahwa aplikasi Koineks palsu menggunakan teknik jahat yang sama untuk memotong SMS dan 2FA berbasis email tetapi tidak memiliki kemampuan untuk mengabaikan dan membungkam pemberitahuan.
Menurut analisis ESET, Serangan tersebut dibuat oleh orang yang sama dengan aplikasi “BTCTurk Pro Beta”. Ini menunjukkan bahwa pelaku saat ini sedang mengerjakan penyempurnaan teknik untuk mencapai hasil “terbaik berikutnya” untuk mencuri pesan SMS.
Mitigasi
Jika Anda curiga telah menginstal dan menggunakan salah satu aplikasi berbahaya tersebut, ESET sarankan Anda segera mencopot pemasangannya. Periksa akun untuk mengetahui aktivitas mencurigakan dan ubah kata sandi Anda.
Bulan lalu, ESET memperingatkan tentang meningkatnya harga bitcoin yang menimbulkan gelombang baru malware cryptocurrency di Google Play. Penemuan terbaru ini menunjukkan bahwa penjahat secara aktif mencari metode menghindari langkah-langkah keamanan untuk meningkatkan peluang mereka untuk mendapat keuntungan dari pengembangan.
Agar tetap aman dari teknik baru ini, dan dari malware finansial Android secara umum, ikuti beberapa tips dari ESET sebagai berikut:
- Hanya percaya pada cryptocurrency dan aplikasi keuangan lainnya jika mereka ditautkan dari situs web resmi layanan.
- Hanya masukkan informasi sensitif Anda ke formulir online jika Anda yakin akan keamanan dan legitimasinya.
- Selalu perbarui perangkat Anda
- Gunakan solusi keamanan seluler yang memiliki reputasi baik untuk memblokir dan menghilangkan ancaman; Sistem ESET mendeteksi dan memblokir aplikasi berbahaya ini sebagai Android/FakeApp.KP.
- Bilamana memungkinkan, gunakan generator satu kali sandi (OTP) berbasis perangkat lunak atau token daripada SMS atau email
- Hanya gunakan aplikasi yang Anda anggap dapat dipercaya, dan itupun, hanya izinkan akses Notifikasi ke aplikasi yang memiliki alasan sah untuk memintanya
Sumber berita:
www.welivesecurity.com
