Sebuah aplikasi yang dapat membuat ponsel berbicara sedang booming di internet, banyak orang yang tertarik ingin memiliki fitur keren ini, siapa yang tidak ingin punya aplikasi unik dan jarang dimiliki orang lain. Tapi, kenyataan ternyata tidak seindah seperti yang dibayangkan. Mau gaya malah berubah jadi malapetaka, karena begitu aplikasi selesai diunduh dan diinstal, ponsel tiba-tiba dikunci dan tidak dapat dipergunakan lagi, akibat ulah ransomware lockscreen yang aktif setelah penginstalan.
Ransomware lockscreen mulai bekerja saat aplikasi selesai diinstal dan terdengar suara perempuan yang mengatakan “Congratulated” yang sebenarnya di balik layar sedang mengirimkan pesan atas nama ransomware. Tapi uniknya pengembang ransomware memasang tarif murah bagi korban yang berbicara dalam bahasa Tiongkok, mereka ditawarkan membuka ponsel dengan harga 40 Yuan atau setara dengan 80 ribu rupiah.
Ransomware lockscreen ini adalah salah satu keluarga ransomware Jisut atau dikenal juga sebagai Android/LockScreen.Jisut, sementara ESET mendeteksi malware ini sebagai Android/Lockerpin, yang sekarang berkembang dengan memiliki kemampuan linguistik dan ciri khas lain yang mampu mengatur ulang kode PIN lock screen.
Ransomware Android yang pintar berbicara ini menyebar melalui dropper berbahaya yang biasanya digunakan untuk mendekripsi dan menjalankan payload. Proses infeksi diaktifkan setelah pengguna secara manual membuka aplikasi berbahaya dan mengetuk tombol “Click for free activation” di bagian bawah gambar yang ditampilkan.
Selanjutnya, korban diminta untuk memberikan hak admin untuk malware, sehingga sulit untuk menghapus atau uninstall aplikasi. Selain itu, perangkat terkunci dan pesan suara meminta tebusan dimainkan. Selain pemerasan, berbicara varian Jisut memiliki tujuan lain, salah satu contohnya, korban akan dipancing menggunakan kredensial untuk masuk jaringan sosial Tiongkok QQ.
Malware akan mencoba menipu pengguna dengan menampilkan layar palsu, login yang sama persis dengan yang digunakan oleh QQ. Apabila pengguna tertipu dan memberikan username atau password, malware akan langsung mengirimkannya ke pelaku.
Aktivitas ini akan diikuti permintaan uang tebusan dan informasi bagaimana melakukan pembayaran pada layar ponsel pengguna. Apabila pengguna coba menutup aktivitas tersebut, hal tersebut malah membuat keadaan semakin memburuk. Fitur keamanan ponsel, PIN Lock oleh malware di-reset dan dimasukkan kode baru sehingga tidak bisa dibuka kembali.
Ransomware lockscreen berbicara hanya salah satu dari keluarga malware Jisut yang muncul tahun lalu. Dari pendeteksian yang dilakukan ESET, Jisut berkembang dua kali lipat dibandingkan dengan tahun 2015. Tapi, tidak semua ransomware yang terdeteksi memeras korban mereka. Ada yang hanya ingin menjual aplikasi atau source code-nya atau cukup mengunci perangkat korban tanpa menuntut uang tebusan.
Varian yang meminta uang seringkali membuat proses pembayaran uang tebusan dengan cara yang sederhana dan lebih mudah dengan menambahkan kode QR yang memungkinkan pengguna mengirim pesan ke pengembang malware atau langsung melakukan pembayaran.
Mayoritas Jisut memperlihatkan efek visual yang mudah dilihat oleh korban, seperti mengubah wallpaper atau aktivitas audio dengan memainkan suara pada background. ESET menyakini aktivitas ini sengaja dibuat bukan karena alasan keuangan tetapi juga sebagai sebuah lelucon.
Keluarga malware Jisut paling banyak menyebar di Tiongkok, kemungkinan ini ulah dari kelompok penjahat siber tertentu. Mereka juga sepertinya tidak begitu peduli dengan penyamaran identitas. Beberapa waktu lalu, ada ransomware yang memasukkan informasi kontak di jejaring sosial QQ dan memaksa korban menghubungi pengembang malware untuk mendapatkan file mereka kembali. Berdasarkan informasi di QQ, operator malware adalah pemuda berusia antara 17 dan 22 tahun.
Varian pertama Android/LockScreen.Jisut mulai muncul pada paruh pertama tahun 2014. Sejak saat itu, ESET mendeteksi ratusan varian menampilkan ransom note berbeda-beda, namun semua masih berdasarkan pada template yang sama. Selain ransomware lain, yang menyebar melalui pesan SMS dengan link URL malware ke semua kontak pengguna.
Menghapus Android/Lockscreen.Jisut
ESET punya cara untuk menyingkirkan Jisut, yaitu dengan beberapa langkah yang bisa dengan mudah dilakukan, sebagai berikut:
- Anda dapat mengaksesnya melalui mobile device management dan secara manual mencabut hak adminnya, sehingga memungkinkan untuk menghapus aplikasi yang terinfeksi.
- Jika perangkat Android telah di-root, Anda dapat menggunakan opsi Android Debug Bridge, sehingga mampu untuk berkomunikasi dengan smartphone atau tablet melalui command line. Namun, pilihan ini dibatasi untuk pengguna Android berpengalaman atau pengembang.
- Upaya terakhir melalui reset pabrik, yang mengembalikan perangkat mobile ke keadaan berfungsi penuh, tetapi juga menghapus isinya – seperti gambar, video atau kontak.
Sumber berita:
http://www.welivesecurity.com
