Pengguna ponsel Android seringkali mendapat masalah berhubungan dengan aplikasi-aplikasi yang dijajakan di Google Play Store yang disusupi oleh berbagai macam malware berbahaya. Strategi pengembang malware menyembunyikan pion-pion mereka dalam aplikasi aspal (asli tapi palsu) adalah trik untuk mendapatkan banyak korban, lagi pula siapa yang tidak percaya dengan aplikasi yang ditawarkan di sebuah toko aplikasi resmi.
Trik semacam ini dilakukan berkali-kali karena penjahat siber terus memodifikasi teknik mereka agar bisa terus mengakali sistem keamanan Google Play Store. Terlebih lagi, mereka juga menggunakan akun pengembang palsu yang dibuat serupa mungkin dengan akun sebenarnya untuk menipu pengguna agar tidak curiga. Permainan semacam ini sekarang menjadi hal yang umum di dunia kejahatan siber, salah satu metode yang lain adalah membuat malware terlihat seperti games yang mendapat popularitas mendadak, yang dijadwalkan rilis atau belum tersedia di toko resmi untuk negara tertentu, seperti Pokemon Go, Prisma dan Dubsmash yang berakhir dengan jatuhnya banyak korban. Berikut beberapa trik lain yang umum digunakan penjahat siber menyusupkan malware mereka dalam ponsel.
Tapjacking dan Overlay Windows
Teknik Tapjacking mengelabui pengguna yang mengetuk pada layar ponsel pada sebuah aplikasi yang memiliki lapisan lain di baliknya. Sehingga korban percaya bahwa mereka mengetuk aplikasi yang mereka lihat, namun sebenarnya mereka mengetuk aplikasi yang mendasarinya, yang tersembunyi dari pandangan.
Strategi lain serupa yang banyak digunakan spyware sebagai alat pencurian kredensial di Android adalah overlay windows. Dalam penipuan ini, malware terus melacak aplikasi yang digunakan pengguna, dan saat pengguna bertepatan menggunakan dengan aplikasi tertentu yang sama, aplikasi ini menampilkan kotak dialognya sendiri yang terlihat seperti aplikasi yang sah, meminta kredensial dari pengguna.
Kamuflase aplikasi sistem
Sejauh ini, cara termudah agar kode berbahaya dapat disembunyikan di perangkat adalah sebagai aplikasi sistem. Setelah aplikasi diunduh, ia melakukan malpraktek dengan menghapus ikon aplikasi setelah penginstalan selesai atau menggunakan nama, paket, dan ikon aplikasi sistem dan aplikasi populer lainnya untuk menguasai perangkat. Strategi seperti ini muncul dalam kode trojan perbankan yang terlihat oleh pandangan sebagai Adobe Flash Player untuk mencuri kredensial
Mensimulasikan aplikasi sistem
Karena Android terstruktur untuk membatasi izin aplikasi, banyak kode berbahaya perlu meminta izin administrator untuk menerapkan fungsinya dengan benar. Dan pemberian izin ini membuat lebih sulit untuk menghapus malware.
Disamarkan sebagai alat keamanan atau update sistem memberi keuntungan tersendiri kepada penjahat siber. Secara khusus, ini memungkinkan untuk melindungi diri mereka di balik pengembang yang tepercaya, dan akibatnya pengguna tidak ragu untuk mengizinkan aplikasi mengakses fungsi administratif.
Malware multifungsi
Tren yang telah berkembang dalam beberapa tahun terakhir di dunia mobile adalah menggabungkan malware berbeda dengan menggunakan satu executable. LokiBot adalah salah satu contohnya, yaitu trojan perbankan yang mencoba bersembunyi selama mungkin untuk mencuri informasi dari perangkat; Namun, jika pengguna mencoba menghapus izin administrator untuk mencopot pemasangannya, ia akan mengaktifkan fitur ransomware dan mengenkripsi file perangkat.
Dropper dan downloader
Penggunaan droppers dan downloaders untuk memasukkan kode berbahaya ke dalam APK lain atau mengunduhnya dari internet, adalah strategi yang tidak hanya terbatas pada malware untuk laptop dan komputer, namun juga digunakan secara universal oleh pengembang malware ponsel. Sejak saat itu, kedua bentuk pengkodean malware ini telah ditambahkan ke portofolio teknik berbahaya yang paling banyak digunakan.
Multiplatform dan bahasa pemrograman
Kerangka pengembangan multiplatform baru dan bahasa pemrograman baru muncul setiap saat. Dua hal ini dapat digunakan untuk menyesatkan analis malware, dengan mengkombinasikankeduanya seperti merancang aplikasi dengan Xamarin atau menggunakan kode Lua untuk menjalankan perintah jahat. Strategi ini mengubah arsitektur akhir dari executable dan menambahkan tingkat kerumitan.
Beberapa pengembang malware menambahkan combo ini dengan menggunakan skrip atau dengan bagian kode yang dapat diunduh dari server jarak jauh dan menghapusnya begitu selesai digunakan. Jadi begitu server dimatikan oleh pelaku, maka tidak mungkin mengetahui secara pasti tindakan apa saja yang sudah dilakukan melalui kode yang telah dikirim. Karakteristik serangan semacam ini mulai muncul menjelang akhir tahun 2014.
Sinergi malware
Alternatif untuk mempersulit analisis sampel adalah membagi fungsionalitas menjadi satu set aplikasi yang mampu berinteraksi satu sama lain. Dengan demikian, setiap aplikasi memiliki subkumpulan izin dan fungsi berbahaya, dan mereka kemudian berinteraksi satu sama lain untuk memenuhi tujuan lain. Selain itu, bagi analis untuk memahami fungsi sebenarnya dari malware ini mereka harus memiliki akses ke semua aplikasi individual, membuat situasi ini bagaikan menghubungkan potongan teka-teki secara satu persatu.
Mekanisme komunikasi baru
Untuk berkomunikasi dengan server C&C atau aplikasi berbahaya lainnya, malware perlu mentransfer informasi. Hal ini dapat dilakukan melalui saluran terbuka tradisional atau saluran tersembunyi (protokol komunikasi yang dipersonalisasi, utilisasi CPU, ruang kosong di memori, level suara atau getaran, dan akselerometer).
Selanjutnya, dalam beberapa bulan terakhir kita telah melihat bagaimana penjahat dunia maya menggunakan jaringan sosial untuk mentransfer pesan C&C, seperti Twitoor, botnet yang menggunakan akun Twitter untuk mengirim perintah.
Semua mekanisme ini digunakan oleh penjahat siber untuk menyusup masuk ke Google Play Store setelah sebelumnya memodifikasi aplikasi yang menjadi sasaran. “ESET berulangkali berhasil mendeteksi aplikasi yang sudah diracuni oleh malware jahat dengan berbagai metodenya, dan setiap informasi yang diperoleh selalu disampaikan kepada tim keamanan Google Play Store sehingga bisa membantu banyak pengguna ponsel terhindari dari aplikasi-aplikasi berbahaya” kata Yudhi menambahkan.
