Serangkaian aplikasi trojan baru yang tersebar melalui Google Play Store telah diamati mendistribusikan malware Joker yang terkenal jahat pada perangkat Android yang disusupi.
Joker, pelaku berulang, mengacu pada kelas aplikasi berbahaya yang digunakan untuk penagihan dan penipuan SMS, sementara juga melakukan sejumlah tindakan pilihan peretas jahat, seperti mencuri pesan teks, daftar kontak, dan informasi perangkat.
Meskipun upaya terus-menerus dari pihak Google untuk meningkatkan pertahanannya, aplikasi telah terus-menerus diulang untuk mencari celah dan menyelinap ke toko aplikasi tanpa terdeteksi.
“Mereka biasanya tersebar di Google Play, di mana scammers mengunduh aplikasi yang sah dari toko, menambahkan kode berbahaya ke aplikasi tersebut dan mengunggahnya kembali ke toko dengan nama yang berbeda,” kata peneliti Kaspersky Igor Golovin dalam sebuah laporan yang diterbitkan minggu lalu.
Aplikasi yang di-trojan, menggantikan rekan-rekan mereka yang dihapus, sering muncul sebagai aplikasi perpesanan, pelacakan kesehatan, dan pemindai PDF yang, setelah diinstal, meminta izin untuk mengakses pesan teks dan pemberitahuan, menyalahgunakannya untuk membuat pengguna berlangganan layanan premium.
Trik licik yang digunakan Joker untuk melewati proses pemeriksaan Google Play adalah dengan membuat muatan berbahayanya “tidak aktif” dan hanya mengaktifkan fungsinya setelah aplikasi ditayangkan di Play Store.
Tiga dari aplikasi yang terinfeksi Joker yang terdeteksi oleh Kaspersky hingga akhir Februari 2022 tercantum di bawah ini. Meskipun telah dihapus dari Google Play, mereka terus tersedia dari penyedia aplikasi pihak ketiga.
- Pesan Gaya (com.stylelacat.messagearound),
- Aplikasi Tekanan Darah (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), dan
- Pemindai PDF Kamera (com.jiao.hdcam.docscanner)
Ini bukan pertama kalinya trojan langganan ditemukan di pasar aplikasi. Tahun lalu, aplikasi untuk App Store dan mod WhatsApp yang banyak digunakan ditemukan disusupi dengan malware bernama Triada.
Kemudian pada September 2021, Zimperium menyelesaikan skema menghasilkan uang agresif yang disebut GriftHorse, menindaklanjutinya dengan kasus penyalahgunaan layanan premium lainnya yang disebut Dark Herring awal Januari ini.
“Trojan berlangganan dapat melewati deteksi bot di situs web untuk layanan berbayar, dan terkadang mereka berlangganan pengguna ke layanan scammers sendiri yang tidak ada,” kata Golovin.
“Untuk menghindari langganan yang tidak diinginkan, hindari menginstal aplikasi dari sumber tidak resmi, yang merupakan sumber malware paling sering.”
Bahkan ketika mengunduh aplikasi dari toko aplikasi resmi, pengguna disarankan untuk membaca ulasan, memeriksa legitimasi pengembang, ketentuan penggunaan, dan hanya memberikan izin yang penting untuk menjalankan fungsi yang dimaksudkan.