Bukan sekali dua kali pengembang malware berupaya menipu pengguna Android dengan membuat aplikasi palsu yang meniru Adobe Flash Player sebagai portal masuk berbagai malware menginfeksi smartphone. Untungnya, ESET mampu mendeteksi kamuflase baru ini dan mengenalinya sebagai Android/TrojanDownloader.Agent.JI.
Trojan ini menipu korbannya sehingga memberikan izin khusus ke dalam menu aksesibilitas Android dan menggunakannya untuk mengunduh dan menjalankan malware tambahan sesuai yang diinginkan oleh pelaku. Menurut ESET, trojan ini memang khusus mengincar perangkat yang menjalankan Android termasuk versi terbarunya.
Trojan Downloader didistribusikan melalui situs-situs dewasa yang sudah dikuasai dan media sosial dengan dalih untuk tujuan keamanan, dengan tampilan layar yang menyakinkan untuk memancing penguna mengunduh update Adobe Flash Player palsu dan menginstalnya.
Cara Kerja
Setelah aplikasi palsu Flash Player berhasil diinstalasi, muncul tampilan di layar yang mengatakan “too much consumption of energy” atau “terlalu banyak mengkonsumsi energi” dan mendesak pengguna untuk mengaktifkan mode palsu “Saving Battery.” Dan pesan ini akan terus muncul sampai korban mau mengaktifkan layanan tersebut.
Saat korban mengaktifkannya, malware akan masuk dan membuat layanan baru dalam daftar layanan dengan fungsi aksesibilitas yang diberi nama Saving Battery. Layanan baru ini kemudian meminta izin untuk memantau tindakan korban, mengingat setiap tampilan jendela konten yang muncul dan mengaktifkan explore dengan sentuhan, tujuannya agar pelaku dapat meniru perilaku dan kebiasaan pengguna.
Setelah layanan ini aktif, ikon palsu Flash Player disembunyikan dari pandangan pengguna. Tapi di balik layar, malware sibuk bekerja mengirimkan informasi tentang perangkat korban ke server Command & Control. Server merespon dengan URL yang mengarahkan ke program berbahaya pilihan pelaku mulai dari adware, spyware sampai ransomware atau malware perbankan. Setelah itu, pada smartphone muncul layar kunci palsu tanpa ada pilihan untuk menutupnya. Sementara di balik itu, berbagai perilaku berbahaya terjadi pada perangkat korban.
Saat ini kemudian menjadi momen bagi fungsi meniru perilaku pengguna dijalankan, malware bisa dengan bebas mengunduh, menginstal, menjalankan dan mengaktifkan hak admin untuk memasukkan malware tambahan tanpa persetujuan pengguna. Setelah semua selesai dikerjakan, layar kunci akan menghilang dan pengguna dapat melanjutkan menggunakan perangkat mobile mereka, tetapi tidak akan pernah menyadari jika ponsel sudah berada di bawah kendali malware.
Cara Mengenali Perangkat Terinfeksi
Untuk mengetahui apakah perangkat mobile yang Anda gunakan terinfeksi oleh malware ini atau tidak caranya cukup mudah, Anda dapat dengan mudah memverifikasi dengan memeriksa ‘Saving Battery’ di menu Accessibility. Jika tertera di sana, artinya smartphone yang Anda gunakan sudah terinfeksi.
Menghentikan izin layanan tidak akan menyelesaikan masalah, hanya akan mengulang ke tampilan pop up yang pertama dan tidak menghapus Android/TrojanDownloader.Agent.JI.
Untuk menghapus Trojan Downloader, lakukan secara manual dengan menghapus aplikasi dari Settings -> Application Manager -> Flash-Player.
Dalam beberapa kasus, downloader juga meminta pengguna untuk mengaktifkan hak Administrator perangkat. Jika itu terjadi, Anda tidak dapat menghapus aplikasi, yang perlu dilakukan adalah dengan menonaktifkan hak administrator melalui Settings -> Security -> Flash-Player dan kemudian dilanjutkan dengan meng-uninstall.
Bahkan setelah melakukannya, perangkat Anda mungkin masih dapat terinfeksi oleh aplikasi berbahaya yang tak terhitung jumlahnya dipasang oleh downloader. Untuk memastikan perangkat Anda bersih,ESET memberi saran untuk menggunakan aplikasi keamanan mobile sebagai cara untuk mendeteksi dan menghapus ancaman.
Tips dari ESET
Untuk terhindar dari berbagai masalah yang ditimbulkan oleh malware mobile berbahaya, pencegahan adalah cara terbaik untuk mengatasinya, selain menghindari situs-situs tidak aman ada beberapa hal lain yang bisa dilakukan:
- Jika Anda mengunduh aplikasi atau update di browser, selalu periksa alamat URL untuk memastikan Anda menginstal dari sumber yang dituju. Dalam kasus ini, satu-satunya tempat aman untuk mendapatkan update Adobe Flash Player adalah melalui situs resmi Adobe.
- Setelah menginstal apa pun pada perangkat mobile, perhatikan apa saja hak akses dan izin yang diminta oleh aplikasi. Jika sebuah aplikasi meminta izin melebihi atau tidak sesuai dari fungsinya, jangan aktifkan tanpa melakukan pengecekan ulang.
- Jika semua langkah di atas gagal, jika Anda memiliki solusi keamanan mobile yang komprehensif, maka ini cukup untuk melindungi perangkat dari ancaman apa pun.
Sumber berita:
www.welivesecurity.com
