Bukan sekali dua Google Play Store menjadi tempat persinggahan malware yang biasa disusupkan dalam aplikasi-aplikasi yang dijajakan untuk para pengguna Android. Pasar Android kita ketahui mendominasi pengguna smartphone di dunia jadi tidak heran jika Google Play Store selalu menjadi sasaran para penjahat siber.
Fakta mengejutkan dari penemuan terbaru terkait infiltrasi malware dalam Google Play Store diketahui bahwa baru saja ditemukan operasi malware terbesar di Google Play yang telah menginfeksi sekitar 36,5 juta perangkat Android dengan software adware berbahaya.
Malware yang dijuluki Judy adalah adware klik otomatis yang ditemukan di 41 aplikasi yang dikembangkan oleh perusahaan Korea. Malware menggunakan perangkat terinfeksi untuk menghasilkan klik palsu iklan dalam jumlah besar yang memberikan keuntungan bagi pelaku di baliknya.
Aplikasi berbahaya ini mencapai penyebaran yang menakjubkan antara 4,5 juta dan 18,5 juta unduhan. Beberapa aplikasi yang ditemukan di Google Play sudah ada selama beberapa tahun, namun semua baru saja di-update. Tidak jelas berapa lama kode berbahaya itu ada di dalam aplikasi, sehingga sejak kapan penyebaran malware sebenarnya masih tidak diketahui.
Selain itu dietemukan juga beberapa aplikasi berisi malware berbahaya yang dikembangkan oleh pengembang lain di Google Play. Hubungan antara dua operasi malware ini masih dalam penyelidikan, tapi kemungkinan satu pengembang meminjam kode dari pengembang lainnya. Aplikasi tertua dari operasi kedua terakhir di-update pada April 2016. Artinya kode berbahaya malware telah bersembunyi lama di Play Store dalam waktu lama tanpa terdeteksi.
Aplikasi ini juga memiliki jumlah unduhan yang sangat besar antara 8,5 sampai 36,5 juta pengguna. Mirip dengan malware sebelumnya yang berhasil menginfiltrasi Google Play. Judy bergantung pada komunikasi dengan server command dan Control untuk operasinya. Setelah Google mendapat laporan tentang ini mereka langsung menghapus semua aplikasi yang disusupi malware dari Play Store mereka.
Cara Kerja Judy
Untuk melewati Bouncer, perlindungan Google Play, para peretas membuat aplikasi bridgehead, yaitu aplikasi untuk menjalin koneksi ke perangkat korban, dan mereka memasukkannya ke toko aplikasi. Begitu pengguna mengunudh aplikasi, ia secara diam-diam mendaftarkan receiver yang membuat koneksi dengan server C & C.
Server membalas dengan mengirim payload berbahaya, yang di dalamnya termasuk kode JavaScript, user agent string dan URL yang dikontrol oleh pengembang malware. Malware membuka URL menggunakan user agent yang meniru browser PC di laman web tersembunyi dan menerima pengalihan ke situs web lain. Begitu situs target diluncurkan, malware menggunakan kode JavaScript untuk mencari dan mengklik banner iklan dari iklan Google.
Setelah mengklik iklan tersebut, pengembang malware menerima pembayaran dari pengembang situs web, yang membayar klik dan lalu lintas yang tidak sah. Klik palsu menghasilkan pendapatan besar bagi para pelaku, terutama karena malware tersebut mempunyai cakupan penyebaran yang cukup luas.
Aktor Di Balik Judy
Semua aplikasi berbahaya dikembangkan oleh perusahaan Korea bernama Kiniwini, terdaftar di Google Play sebagai Enistudio corp. Sebuah perusahaan yang mengembangkan aplikasi mobile untuk Android dan iOS. Sebenarnya tidak lazim menemukan perusahaan berada di belakang penyebaran malware mobile, karena biasanya kebanyakan dikembangkan oleh aktor jahat atau perorangan.
Selain aktivitas mengklik, Judy menampilkan sejumlah besar iklan, yang dalam beberapa kasus membuat pengguna tidak memiliki pilihan kecuali mengeklik iklan itu sendiri. Meskipun sebagian besar aplikasi memiliki peringkat positif. Jadi jelas selain memanfaatkan ponsel korban untuk melakukan klik tetapi juga mengganggu aktivitas pengguna.
Sumber berita:
https://www.bleepingcomputer.com
