Penjahat dunia maya mencoba memanfaatkan popularitas Clubhouse untuk mengirimkan malware yang bertujuan untuk mencuri informasi login pengguna untuk berbagai layanan online, serangan ini berhasil ditemukan oleh peneliti malware ESET, Lukas Stefanko.
Menyamar sebagai versi Android yang belum ada dari aplikasi obrolan audio khusus undangan, paket berbahaya ini disajikan dari situs web yang memiliki tampilan dan nuansa situs web Clubhouse asli. Trojan ini dijuluki “BlackRock” oleh ThreatFabric dan dideteksi oleh produk ESET sebagai Android/TrojanDropper.Agent.HLR, dapat mencuri data login korban untuk tidak kurang dari 458 layanan online.
Daftar target termasuk aplikasi keuangan dan belanja terkenal, pertukaran mata uang kripto, serta media sosial dan platform perpesanan. Sebagai permulaan, Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Aplikasi Tunai, BBVA dan Lloyds Bank semuanya ada dalam daftar.
Situs webnya terlihat seperti real deal. Sejujurnya, ini adalah salinan dari situs web Clubhouse yang sah. Namun, setelah pengguna mengeklik ‘Get in on Google Play, aplikasi akan diunduh secara otomatis ke perangkat pengguna. Sebaliknya, situs web yang sah akan selalu mengarahkan pengguna ke Google Play, daripada langsung mengunduh Android Package Kit, atau disingkat APK,” kata Stefanko.
Bahkan sebelum menekan tombol, ada tanda-tanda bahwa ada sesuatu yang salah, seperti koneksi tidak aman (HTTP bukan HTTPS) atau bahwa situs tersebut menggunakan top-level domain (TLD) “.mobi”, bukan “.com” digunakan oleh aplikasi yang sah. Bendera merah lainnya adalah meskipun Clubhouse memang berencana untuk segera meluncurkan aplikasinya dalam versi Android, platform tersebut saat ini masih tersedia hanya untuk iPhone.
Setelah korban ditipu untuk mengunduh dan menginstal BlackRock, trojan mencoba untuk mendapatkan kredensial mereka menggunakan serangan overlay. Dengan kata lain, setiap kali pengguna meluncurkan salah satu aplikasi yang ditargetkan, malware akan membuat overlay aplikasi yang mencuri data dan meminta pengguna untuk masuk. Alih-alih masuk, pengguna tanpa disadari menyerahkan kredensial mereka kepada penjahat dunia maya.
Menggunakan otentikasi dua faktor (2FA) berbasis SMS untuk membantu mencegah siapa pun menyusup ke akun Anda belum tentu membantu dalam kasus ini, karena malware juga dapat mencegat pesan teks. Aplikasi jahat juga meminta korban untuk mengaktifkan layanan aksesibilitas, secara efektif memungkinkan pelaku untuk mengambil kendali perangkat.
Yang pasti, ada cara lain untuk menemukan umpan jahat. Stefanko menunjukkan bahwa nama aplikasi yang diunduh “Instal”, alih-alih “Clubhouse”, harusnya juga menjadi bendera merah.
“Meskipun ini menunjukkan bahwa pembuat malware mungkin terlalu malas untuk menyamarkan aplikasi yang diunduh dengan benar, itu juga bisa berarti bahwa mungkin akan ditemukan peniru yang lebih canggih di masa mendatang,” ungkap Stefanko.
Dari kasus ini, kita dapat mempelajari banyak hal dan juga lebih mengasah diri untuk lebih waspada dan terus memoles praktik terbaik keamanan seluler:
-
- Gunakan hanya toko resmi untuk mengunduh aplikasi ke perangkat Anda.
-
- Berhati-hatilah dengan jenis izin yang Anda berikan ke aplikasi.
-
- Selalu perbarui perangkat, idealnya dengan mengaturnya untuk menambal dan memperbarui secara otomatis.
-
- Jika memungkinkan, gunakan generator kata sandi satu kali (OTP) berbasis perangkat lunak atau token perangkat keras alih-alih SMS.
-
- Sebelum mengunduh aplikasi, lakukan penelitian tentang pengembang dan peringkat aplikasi serta ulasan pengguna.
-
- Gunakan solusi keamanan seluler terkemuka.
Untuk pemahaman yang lebih menyeluruh tentang cara melindungi diri Anda dari ancaman keamanan seluler, terus ikuti berita-berita tentang keamanan siber di BacaPikirShare.