Google Play Store dua tahun belakangan sering mendapat serangan dari para penjahat siber, serangan di sini bukan bermaksud merontokkan atau membuat down situs tersebut, tetapi lebih pada upaya menyusupkan aplikasi-aplikasi berbahaya berisi berbagai malware dengan maksud dan tujuan masing-masing.
Beberapa waktu lalu Google Play Store sempat kecolongan 20 Aplikasi yang berhasil lolos dari pemeriksaan keamanan mengakibatkan 85 juta perangkat pengguna di seluruh dunia disusupi oleh malware berbahaya bernama HummingWhale varian terbaru dari HummingBad.
Tapi tak selang beberapa waktu, Google harus menerima kenyataan bagaimana sistem keamanan mereka berhasil ditembus lagi oleh sebuah aplikasi yang disebut EnergyRescue, sebuah aplikasi yang katanya mampu membuat baterai menjadi lebih hemat.
Dengan borosnya penggunaan smartphone dengan berbagai aplikasinya yang mampu menguras energi apalagi jika diperuntukan kegiatan online membuat daya tahan baterai cepat menurun, menjadikan aplikasi ini terlihat sangat menjanjikan untuk dipasang di smartphone.
Tapi di balik semua itu, aplikasi EnergyRescue malah diam-diam mencuri pesan SMS dan daftar kontak pengguna, upload data ke server pengembang malware dan kemudian mengunci perangkat pengguna. Otomatis dengan terkuncinya smartphone, pengguna tidak bisa lagi mengakses ponselnya.
Sudah jelas bila melihat cara kerjanya yang mengunci layar dan menutup akses pengguna, EnergyRescue dipastikan sudah disusupi oleh ransomware berbahaya, ditambah dengan munculnya ransom note semakin membuat jelas semuanya.
Dalam ransom note yang muncul, pengembang malware mengancam korban, apabila tidak mau membayar mereka akan menjual semua informasi pribadi seperti akun jejaring sosial, akun bank, kartu kredit yang terdapat dalam ponsel setiap 30 menit.
Bahkan dalam ransom note, pelaku juga mengancam dan mengintimidasi korban dengan mengambil seluruh data yang berhubungan teman dan keluarga, kecuali korban membayar sesuai dengan yang mereka minta, dan mereka akan emnjamin semua akan dikembalikan seperti semula. Berikut ransom note tersebut:
You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, BANK CRIME etc… We collect and download all of your personal data. All information about your social networks, Bank accounts, Credit Cards. We collect all data about your friends and family.
Namun demikian, hasil dari penelitian yang dilakukan terhadap ransomware Charger tidak ditemukan bukti bahwa aplikasi tersebut mampu mengambil informasi seperti yang pelaku ancamkan melalui ransom note.
Gertakan semacam ini memang sering terjadi dalam kasus-kasus ransomware, terutama ransomware dari jenis Locker Ransomware dirancang untuk menolak akses ke sumber daya ponsel, biasanya hanya mengunci layar komputer dan kemudian meminta pengguna untuk membayar biaya untuk mengembalikan akses.
Dari hasil analisis ransomware Charger juga ditemukan bahwa ransomware ini mampu menginfeksi perangkat mengandalkan dropper untuk mendapatkan pijakan sebelum menginfeksi ponsel korban.
Biasa berupa aplikasi kecil dengan perilaku berbahaya yang dibatasi, agar bisa melewati pemeriksaan keamanan Google Play Store, untuk selanjutnya meminta hak administrator kepada pengguna. Jika mereka berhasil meyakinkan pengguna untuk memberikan mereka hak admin, aplikasi ini akan mengunduh ransomware pada kesemptan berikutnya.
Ransomware Android Canggih
Charger berbeda dengan ransomware android lain, dalam aplikasi EnergyRescue mereka mengisi aplikasi dengan semua kode berbahaya, meskipun menempatkan semua kode dalam satu tempat, pengembang malware Chaeger mampu menyamarkan perilaku berbahaya tersebut.
Sebagai permulaan, mereka mengkodekan semua string sebagai array biner, sehingga sulit untuk memeriksa aplikasi, bahkan oleh peneliti keamanan veteran.
Kedua, mereka memuat kode berbahaya dari sumber terenkripsi, di mana mesin deteksi Google tidak bisa mencapai untuk memeriksa.
Ketiga, mereka banjiri ponsel dengan perintah sampah untuk menyembunyikan operasi berbahaya dari pemeriksaan manual manusia.
Keempat, Charger juga memasukkan kode yang memeriksa apakah aplikasi berjalan dalam emulator Android, dan menghentikan ransomware sebelum terpicu. Kemungkinan besar fitur ini yang digunakan untuk memungkinkan Charger bypass Bouncer, scanner keamanan Play Store.
Charger dan Rusia
Semua kemampuan di atas merupakan bukti adanya penggunaan fitur canggih pada ransomware Charger, yang biasanya hanya ditemukan pada ransomware yang mengincar komputer. Selain itu, seperti kebanyakan ransomware desktop, Charger melakukan pemeriksaan yang mencegah ransomware dieksekusipada pemilik ponsel yang berasal dari negara-negara pecahan Soviet seperti Rusia, Belarus, atau Ukraina.
Hal ini mungkin dilakukan untuk menjaga pengembang dari penuntutan di negara mereka sendiri atau diekstradisi antara negara-negara tersebut, sehingga hal ini menjadi petunjuk bahwa pengembang malware berasal dari negara-negara pecahan Soviet atau sekarang kita sebut Rusia.
Sumber berita:
www.bleepingcomputer.com
