
Hati-hati ada adware pencuri kredensial
Hati-hati ada adware pencuri kredensial sangat tidak biasa. Lebih dari 300 aplikasi Android berbahaya yang diunduh 60 juta kali dari Google Play bertindak sebagai adware atau mencoba mencuri kredensial dan informasi kartu kredit.
Operasi ini dikategorikan sebagai aktivitas berbahaya tersebut dengan nama “Vapor” dan mengatakan bahwa aktivitas tersebut telah berlangsung sejak awal tahun 2024.
Peneliti mengidentifikasi 180 aplikasi sebagai bagian dari operasi Vapor, yang menghasilkan 200 juta permintaan tawaran iklan palsu setiap hari untuk terlibat dalam penipuan iklan skala besar.
Laporan yang baru diterbitkan diketahui jumlah aplikasi berbahaya meningkat menjadi 331, juga dilaporkan banyak terjadi infeksi di Brasil, Amerika Serikat, Meksiko, Turki, dan Korea Selatan.
Aplikasi tersebut menampilkan iklan yang tidak sesuai konteks dan bahkan mencoba membujuk korban untuk memberikan kredensial dan informasi kartu kredit dalam serangan phishing.
Meskipun semua aplikasi ini telah dihapus dari Google Play, ada risiko signifikan bahwa Vapor akan kembali melalui aplikasi baru karena pelaku ancaman telah menunjukkan kemampuan untuk melewati proses peninjauan Google.
Baca juga: Adware Menggila di Google Play |
Aplikasi Vapor di Google Play
Dari riset diketahui aplikasi yang digunakan dalam operasi Vapor adalah utilitas yang menawarkan fungsionalitas khusus seperti pelacakan kesehatan dan kebugaran, alat pencatatan dan buku harian, pengoptimal baterai, dan pemindai kode QR.
Dan aplikasi tersebut lolos tinjauan keamanan Google karena menyertakan fungsionalitas yang dipromosikan dan tidak mengandung komponen berbahaya pada saat pengajuan.
Sebaliknya, fungsionalitas malware diunduh pasca-instalasi melalui pembaruan yang dikirimkan dari server perintah dan kontrol (C2).
Beberapa kasus penting yang disorot oleh Bitdefender dan IAS adalah:
- AquaTracker – 1 juta unduhan
- ClickSave Downloader – 1 juta unduhan
- Scan Hawk – 1 juta unduhan
- Water Time Tracker – 1 juta unduhan
- Be More – 1 juta unduhan
- BeatWatch – 500.000 unduhan
- TranslateScan – 100.000 unduhan
- Handset Locator – 50.000 unduhan.
Aplikasi-aplikasi tersebut diunggah ke Google Play dari berbagai akun pengembang, masing-masing hanya mengunggah beberapa ke toko, agar tidak berisiko menimbulkan gangguan besar jika terjadi penghapusan. Untuk alasan yang sama, setiap penerbit menggunakan SDK iklan yang berbeda.
Sebagian besar aplikasi Vapor dipublikasikan di Google Play antara Oktober 2024 dan Januari 2025, meskipun pengunggahan terus berlanjut hingga Maret.
Baca juga: Adware Cemari Ribuan Aplikasi Android |
Fungsionalitas Berbahaya
Aplikasi Vapor yang berbahaya menonaktifkan Aktivitas Peluncur mereka di file AndroidManifest.xml setelah penginstalan, sehingga tidak terlihat.
Dalam beberapa kasus, mereka mengganti nama mereka sendiri di Setelan agar tampak sebagai aplikasi yang sah.
Aplikasi diluncurkan tanpa interaksi pengguna dan menggunakan kode asli untuk mengaktifkan komponen tersembunyi sekunder sambil tetap menonaktifkan peluncur agar ikon tetap tersembunyi.
Bitdefender mengomentari bahwa metode ini melewati perlindungan keamanan Android 13+ yang mencegah aplikasi menonaktifkan aktivitas peluncur mereka sendiri secara dinamis setelah aktif.
Malware tersebut juga melewati batasan izin ‘SYSTEM_ALERT_WINDOW’ di Android 13+ dan membuat layar sekunder yang berfungsi sebagai hamparan layar penuh.
Iklan ditampilkan di layar ini, yang dihamparkan di atas semua aplikasi lain, sehingga pengguna tidak dapat keluar karena tombol ‘kembali’ dinonaktifkan.
Aplikasi tersebut juga menghapus dirinya sendiri dari ‘Tugas Terkini’, sehingga pengguna tidak dapat menentukan aplikasi mana yang meluncurkan iklan yang baru saja mereka dapatkan.
Peneliti melaporkan bahwa beberapa aplikasi bertindak lebih dari sekadar penipuan iklan, menampilkan layar masuk palsu untuk Facebook dan YouTube.
Tujuannya adalah untuk mencuri kredensial atau meminta pengguna memasukkan informasi kartu kredit dengan berbagai dalih.
Secara umum, pengguna Android disarankan untuk:
- Menghindari menginstal aplikasi yang tidak perlu dari penerbit yang tidak bereputasi baik.
- Memeriksa izin yang diberikan.
- Membandingkan laci aplikasi dengan daftar aplikasi yang diinstal dari Setelan → Aplikasi → Lihat semua aplikasi.
- Jika menemukan bahwa Anda telah memasang salah satu aplikasi tersebut, segera hapus dan jalankan pemindaian sistem lengkap.
Demikian topik kita kali ini mengenai hati-hati! ada adware pencuri kredensial, semoga informasi tersebut dapat bermanfaat bagi para pembaca.
Sumber berita: