Google telah mengambil langkah-langkah untuk menghentikan lusinan aplikasi penipuan dari Play Store resmi yang terlihat menyebarkan keluarga malware Joker, Facestealer, dan Coper melalui pasar virtual.
Sementara etalase Android dianggap sebagai sumber tepercaya untuk menemukan dan memasang aplikasi, pelaku kejahatan telah berulang kali menemukan cara untuk menyelinap melewati penghalang keamanan yang didirikan oleh Google dengan harapan memikat pengguna yang tidak menaruh curiga untuk mengunduh aplikasi yang mengandung malware.
Temuan terbaru dari Zscaler ThreatLabz dan Pradeo tidak berbeda. “Joker adalah salah satu keluarga malware paling menonjol yang menargetkan perangkat Android,” kata peneliti Viral Gandhi dan Himanshu Sharma dalam sebuah laporan Senin.
“Terlepas dari kesadaran publik akan malware khusus ini, malware ini terus menemukan jalannya ke toko aplikasi resmi Google dengan secara teratur memodifikasi jejak malware termasuk pembaruan kode, metode eksekusi, dan teknik pengambilan muatan.”
Dikategorikan sebagai fleeceware, Joker (alias Roti) dirancang untuk membuat pengguna berlangganan layanan berbayar yang tidak diinginkan atau melakukan panggilan ke nomor premium, sambil juga mengumpulkan pesan SMS, daftar kontak, dan informasi perangkat. Ini pertama kali diamati di Play Store pada tahun 2017.
Sebanyak 53 aplikasi pengunduh Joker telah diidentifikasi oleh dua perusahaan keamanan siber, dengan aplikasi diunduh secara kumulatif lebih dari 330.000 kali. Aplikasi ini biasanya menyamar sebagai SMS, editor foto, monitor tekanan darah, keyboard emoji, dan aplikasi terjemahan yang, pada gilirannya, meminta izin yang lebih tinggi untuk perangkat untuk menjalankan operasinya.
“Alih-alih menunggu aplikasi untuk mendapatkan volume pemasangan dan ulasan tertentu sebelum menukar dengan versi yang mengandung malware, para pengembang Joker telah menyembunyikan muatan berbahaya dalam file aset umum dan aplikasi paket menggunakan pengemas komersial,” para peneliti menjelaskan taktik baru yang diadopsi oleh malware persisten untuk melewati deteksi.
Bukan hanya Joker, sebagai peneliti keamanan Maxime Ingrao minggu lalu diungkapkan delapan aplikasi yang berisi varian berbeda dari malware bernama Autolycos yang mengumpulkan total lebih dari tiga juta unduhan sebelum dihapus dari app store setelah lebih dari enam bulan.
“Yang baru dari tipe ini adalah tidak lagi membutuhkan WebView,” kata peneliti Malwarebytes Pieter Arntz. “Tidak memerlukan WebView sangat mengurangi kemungkinan pengguna perangkat yang terpengaruh melihat sesuatu yang mencurigakan sedang terjadi. Autolycos menghindari WebView dengan mengeksekusi URL pada browser jarak jauh dan kemudian memasukkan hasilnya dalam permintaan HTTP.”
Juga ditemukan di pasar resmi adalah aplikasi yang menyematkan malware Facestealer dan Coper. Sementara yang pertama memungkinkan operator untuk menyedot kredensial Facebook dan token autentikasi, Coper — turunan dari malware Exobot — berfungsi sebagai trojan perbankan yang dapat mencuri berbagai macam data.
Coper “mampu mencegat dan mengirim pesan teks SMS, membuat permintaan USSD (Unstructured Supplementary Service Data) untuk mengirim pesan, keylogging, mengunci / membuka kunci layar perangkat, melakukan serangan berlebihan, mencegah pencopotan pemasangan dan umumnya memungkinkan penyerang untuk mengambil kendali dan menjalankan perintah pada perangkat yang terinfeksi melalui koneksi jarak jauh dengan server C2,” kata para peneliti.
Malware, seperti trojan perbankan lainnya, juga diketahui menyalahgunakan izin aksesibilitas di Android untuk mendapatkan kendali penuh atas ponsel korban. Daftar aplikasi penetes Facestealer dan Coper adalah sebagai berikut –
- Kamera Vanila (cam.vanilla.snapp)
- Pemindai QR Unicc (com.qrdscannerratedx)
Jika ada, temuan tersebut menambah sejarah bertingkat Google dalam berjuang untuk menjaga aplikasi fleeceware dan spyware tersebut dari toko aplikasi selulernya, sebagian karena banyak taktik yang berkembang yang diadopsi oleh aktor ancaman untuk terbang di bawah radar.
Selain aturan praktis yang biasa digunakan untuk mengunduh aplikasi dari toko aplikasi, pengguna disarankan untuk tidak memberikan izin yang tidak perlu ke aplikasi dan memverifikasi keabsahannya dengan memeriksa informasi pengembang, membaca ulasan, dan memeriksa kebijakan privasi mereka.