Aplikasi Google Play Berbahaya Mencuri Info Perbankan Pengguna
Security

Aplikasi Google Play Berbahaya Mencuri Info Perbankan Pengguna

Para peneliti mengatakan mereka telah menemukan sekumpulan aplikasi yang diunduh dari Google Play lebih dari 300.000 kali sebelum aplikasi tersebut terungkap sebagai trojan perbankan yang secara diam-diam menyedot kata sandi pengguna dan kode otentikasi dua faktor, mencatat penekanan tombol, dan mengambil tangkapan layar.

Aplikasi — menyamar sebagai pemindai QR, pemindai PDF, dan dompet cryptocurrency — milik empat keluarga malware Android terpisah yang didistribusikan selama empat bulan. Mereka menggunakan beberapa trik untuk menghindari pembatasan yang telah dirancang Google dalam upaya untuk mengendalikan distribusi aplikasi penipuan yang tidak ada habisnya di pasar resminya. Batasan tersebut termasuk membatasi penggunaan layanan aksesibilitas bagi pengguna dengan gangguan penglihatan untuk mencegah penginstalan otomatis aplikasi tanpa persetujuan pengguna.

Jejak kaki kecil

“Apa yang membuat kampanye distribusi Google Play ini sangat sulit untuk dideteksi dari perspektif otomatisasi (kotak pasir) dan pembelajaran mesin adalah bahwa semua aplikasi penetes memiliki jejak berbahaya yang sangat kecil,” tulis peneliti dari perusahaan keamanan seluler ThreatFabric dalam sebuah posting. “Jejak kecil ini adalah konsekuensi (langsung) dari pembatasan izin yang diberlakukan oleh Google Play.”

Sebaliknya, kampanye biasanya mengirimkan aplikasi yang ramah pada awalnya. Setelah aplikasi dipasang, pengguna menerima pesan yang menginstruksikan mereka untuk mengunduh pembaruan yang memasang fitur tambahan. Aplikasi sering membutuhkan pembaruan untuk diunduh dari sumber pihak ketiga, tetapi pada saat itu banyak pengguna yang mempercayainya. Sebagian besar aplikasi awalnya tidak terdeteksi oleh pemeriksa malware yang tersedia di VirusTotal.

Aplikasi juga terbang di bawah radar dengan menggunakan mekanisme lain. Dalam banyak kasus, operator malware secara manual menginstal pembaruan berbahaya hanya setelah memeriksa lokasi geografis ponsel yang terinfeksi atau dengan memperbarui ponsel secara bertahap.

“Perhatian luar biasa yang didedikasikan untuk menghindari perhatian yang tidak diinginkan ini membuat deteksi malware otomatis kurang dapat diandalkan,” posting ThreatFabric menjelaskan. “Pertimbangan ini dikonfirmasi oleh skor VirusTotal keseluruhan yang sangat rendah dari 9 jumlah dropper yang telah kami selidiki di blogpost ini.”

Keluarga malware yang bertanggung jawab atas jumlah infeksi terbesar dikenal sebagai Anatsa. “Trojan perbankan Android yang agak canggih” ini menawarkan berbagai kemampuan, termasuk akses jarak jauh dan sistem transfer otomatis, yang secara otomatis mengosongkan akun korban dan mengirim konten ke akun milik operator malware.

Para peneliti menulis:

Proses infeksi dengan Anatsa terlihat seperti ini: setelah memulai instalasi dari Google Play, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakan aplikasi. Pada saat ini, [the] Payload Anatsa diunduh dari server C2 dan diinstal pada perangkat korban yang tidak curiga.

Aktor di baliknya berupaya membuat aplikasi mereka terlihat sah dan berguna. Ada banyak ulasan positif untuk aplikasi. Jumlah penginstalan dan keberadaan ulasan dapat meyakinkan pengguna Android untuk menginstal aplikasi. Selain itu, aplikasi ini memang memiliki fungsi yang diklaim; setelah instalasi, mereka beroperasi secara normal dan lebih meyakinkan [the] korban [of] legitimasi mereka.

Terlepas dari jumlah instalasi yang sangat banyak, tidak setiap perangkat yang memasang dropper ini akan menerima Anatsa, karena para pelaku berusaha hanya menargetkan wilayah yang mereka minati.

Tiga keluarga malware lain yang ditemukan oleh para peneliti termasuk Alien, Hydra, dan Ermac. Salah satu dropper yang digunakan untuk mengunduh dan menginstal muatan berbahaya dikenal sebagai Gymdrop. Itu menggunakan aturan filter berdasarkan model perangkat yang terinfeksi untuk mencegah penargetan perangkat peneliti.

Latihan Latihan Baru

“Jika semua persyaratan terpenuhi, payload akan diunduh dan diinstal,” tulis postingan tersebut. “Penetes ini juga tidak meminta hak aksesibilitas Layanan; itu hanya meminta izin untuk menginstal paket, dibumbui dengan janji untuk menginstal latihan latihan baru—untuk menarik pengguna agar memberikan izin ini. Saat diinstal, muatan diluncurkan. Intelijen ancaman kami menunjukkan bahwa saat ini, penetes ini digunakan untuk mendistribusikan [the] Trojan perbankan asing.”

Diminta komentar, juru bicara Google menunjuk ke posting ini dari April yang merinci metode perusahaan untuk mendeteksi aplikasi berbahaya yang dikirimkan ke Play.

Posted By : hk hari ini keluar