Sebuah aplikasi Android bernama System Update yang secara rahasia mengandung keluarga spyware bernama SMSVova, bertahan di Google Play Store resmi setidaknya selama tiga tahun, sejak 2014, saat diperbarui terakhir kali.
Google melakukan intervensi minggu ini, setelah mendapat laporan adanya invasi dalam toko aplikasi mereka, namun saat Google menurunkannya, antara satu hingga lima juta pengguna telah memasangnya di ponsel mereka.
Dari halaman Play Store aplikasi sudah terlihat sangat mencurigakan, karena menampilkan screenshot putih kosong dan sebuah kalimat sebagai deskripsi, “This application updates and enables special location features.” atau “Aplikasi ini memperbarui dan mengaktifkan fitur lokasi khusus.”
Ulasan pengguna yang ditinggalkan di laman Play Store juga mencerminkan perilaku dari aplikasi berbahaya, terlihat dari begitu banyaknya pengguna Android yang mengeluhkan aplikasi ternyata tidak memperbarui sistem mereka seperti yang dijanjikan namun langsung menghilang dari layar setelah mereka menjalankannya untuk pertama kalinya.
Menurut para peneliti yang menganalisis source code aplikasi dalam penulisan teknis di sini, aplikasi System Update tidak mengandung fitur pembaruan sistem apa pun, namun malah menampakkan perilaku mirip spyware.
Hasil penilitian juga diketahui bahwa malware yang ditemukan dalam aplikasi bernama SMSVova, termasuk fungsionalitasnya yang menyediakan layanan Android dan penerima siaran. Trik menyisipkan malware dalam aplikasi belakangan memang semakin umum dan sering digunakan para pengembang malware.
Layanan Android bekerja dengan memanfaatkan koordinat geo-location terakhir yang diketahui pengguna dan menyimpan informasi ini di dalam Shared Preferences, sebuah ruang penyimpanan tempat Android biasanya mengumpulkan data aplikasi.
Spyware dikendalikan melalui pesan SMS
Di sisi lain, penerima broadcast Android adalah tempat sebagian besar kode berbahaya berada. Receiver ini mendengarkan pesan SMS masuk yang berisi string “vova-” atau “get faq”.
Seorang pelaku mengirim SMS dengan perintah “get faq” ke host yang terinfeksi akan menerima kembali SMS lain dengan daftar perintah yang bisa dia jalankan. Perintah baru kemudian bisa dikirim dalam pesan SMS baru dengan cara awalan instruksi “vova-“, seperti: vova-set user password: ‘newpassword’
Aplikasi tersebut menyertakan dukungan untuk perintah yang melaporkan lokasi pengguna saat ini dan mengubah kata sandi perangkat. Peneliti tidak dapat menentukan mengapa SMSVova hanya mengumpulkan informasi geo-location dari pengguna, namun ini bisa saja “digunakan untuk sejumlah alasan berbahaya.
Selanjutnya, peneliti juga menemukan bahwa SMSVova memiliki struktur kode yang sama dengan bagian kecil dari DroidJack RAT, salah satu trojan akses remote Android komersial yang paling terkenal di pasaran, jadi ada kemungkinan SMSVova adalah versi awal dari DroidJack.
Perbandingan antara source code SMSVova dan DroidJack RAT
Dengan mempertimbangkan bahwa aplikasi System Update tidak menerima pembaruan sejak Desember 2014, bersamaan dengan kemiripannya dengan DroidJack, ini mungkin salah satu upaya pertama untuk mendapatkan RAT DroidJack, atau setidaknya sebagian darinya, melewati Filter keamanan Google dan di Play Store.
RAT DroidJack muncul di forum hacking pada bulan Juni 2014 dan berbasis pada aplikasi remote administration Sandroid yang legitimate, dan masih tersedia saat ini di Google Play Store.
Sumber berita:
https://www.bleepingcomputer.com
