Credit image: Pixabay
Trojan perbankan android masa kini sepertinya sudah menjadi satu paket dengan fitur ransomware untuk menutup akses pengguna ke perangkat mereka sekaligus mengenkripsi data untuk mendapat keuntungan ganda.
Fungsi ransomware mempermudah penjahat siber dalam mengumpulkan data-data berharga seperti login portal perbankan dan aplikasi instan messaging. Tapi satu hal patut disyukuri hanya sedikit trojan perbankan android yang mengaplikasikan metode ini.
Monetisasi Sekunder
Kehadiran ransomware dalam trojan perbankan android adalah bagian dari taktik pengembang malware, karena ketika fitur ransomware diaktifkan, penjahat siber di balik serangan ini mempunyai tujuan ingin mendapat keuntungan berlipat seperti yang disinggung di atas.
Ransomware berperan sebagai sistem monetisasi sekunder, dengan fokus utama mendapat keuntungan dari kredensial yang dicuri, dan di satu sisi masih bisa mendapat uang tambahan dari hasil memeras korban dengan ransomware.
Dalam kasus yang lain, fitur ransomware baru diaktifkan oleh trojan sebagai fitur monetisassi sekunder apabila trojan perbankan gagal dalam mengumpulkan login atau rincian kartu kredit. Mungkin pelaku berpikir apabila rencana pertama gagal, mereka masih punya rencana cadangan sebagai gantinya.
Tidak semua pengguna yang terinfeksi dengan trojan perbankan menggunakan aplikasi perbankan Android, sehingga fitur ransomware adalah usaha terakhir bagi penjahat siber untuk memperoleh keuntungan melalui pembayaran uang tebusan dari korban-korban mereka.
Ransomware sebagai Pengalih Perhatian
Tapi ada alasan lain yang lebih berbahaya saat ransomware mulai mengunci layar ponsel, yang bertujuan untuk mengalihkan perhatian pemilik ponsel agar sibuk berupaya membuka layar sementara pelaku di belakang layar melakukan transaksi penipuan.
Saat pengguna mencoba untuk mencari tahu bagaimana cara membuka telepon, pelaku berharap korban terlalu sibuk sehingga tidak melihat SMS atau peringatan email yang dia terima untuk transaksi besar atau penipuan yang terjadi di dalam rekening banknya.
Pada saat pemilik ponsel berhasil menghapus layar tebusan atau menginstal ulang perangkatnya, pelaku memiliki banyak waktu, bukan hanya hitungan jam tetapi bahkan sampai berhari-hari, untuk memindahkan uang yang dicuri ke rekening bank yang berbeda, dan kemudian mengambilnya melalui ATM, sehingga pihak berwenang kehilangan jejak mereka.
Trojan Perbankan Android Crypto Ransomware
Android/TrojanSMS.Agent salah satu banking trojan yang menambahkan fitur ramsomware, lalu ada Android.SmsSpy dan Fanta SDK yang memiliki fitur sama, hanya bedanya, kedua ransomware terakhir mengunci layar pengguna dengan PIN acak.
Menurut laboratorium ESET, versi terbaru dari trojan Android/TrojanSMS.Agent.KR juga ikut menambahkan fitur serupa yang juga mampu mengenkripsi file, seperti layaknya ransomware desktop lain.
Android/TrojanSMS.Agent.KR menggunakan algoritma AES untuk mengunci file. Dengan menargetkan 89 ekstensi file berbeda, tetapi fitur enkripsi ini jarang digunakan. Trojan fokus pada kemampuan phishing, yang saat ini menargetkan lebih dari 2.000 aplikasi keuangan dan pengguna di 27 negara.
Munculnya fitur crypto ransomware dalam trojan perbankan yang belakangan sering muncul memberikan sekilas gambaran masa depan trojan perbankan android. Yang akan menemukan cara untuk memeras uang dari semua korban.
Namun demikian, karena sifat dari lanskap OS mobile saat ini, ponsel ransomware tidak berbahaya dan efisien seperti pada desktop dan laptop. Karena sebagian besar file yang tersimpan pada perangkat mobile akan disalin ke cloud. Dengan kata lain, menuntut uang tebusan sebagai imbalan untuk mendekripsi file adalah perbuatan sia-sia.
Sumber berita:
www.bleepingcomputer.com/
www.virusradar.com
