Strain baru malware Android telah terlihat secara liar menargetkan perbankan online dan pelanggan dompet cryptocurrency di Spanyol dan Italia, hanya beberapa minggu setelah operasi penegakan hukum yang terkoordinasi membongkar FluBot.
Informasi yang mencuri trojan, dengan nama kode MaliBot oleh F5 Labs, kaya fitur seperti rekan-rekannya, memungkinkannya mencuri kredensial dan cookie, melewati kode otentikasi multi-faktor (MFA), dan menyalahgunakan Layanan Aksesibilitas Android untuk memantau layar perangkat korban.
MaliBot dikenal terutama menyamar sebagai aplikasi penambangan cryptocurrency seperti Mining X atau The CryptoApp yang didistribusikan melalui situs web palsu yang dirancang untuk menarik pengunjung potensial agar mengunduhnya.
Ini juga mengambil daun lain dari buku pedoman trojan mobile banking karena menggunakan smishing sebagai vektor distribusi untuk memperbanyak malware dengan mengakses kontak smartphone yang terinfeksi dan mengirim pesan SMS yang berisi tautan ke malware.
“Command-and-control (C2) MaliBot ada di Rusia dan tampaknya menggunakan server yang sama yang digunakan untuk mendistribusikan malware Sality,” kata peneliti F5 Labs, Dor Nizar. “Ini adalah pengerjaan ulang malware SOVA yang sangat dimodifikasi, dengan fungsionalitas, target, server C2, domain, dan skema pengepakan yang berbeda.”
SOVA (berarti “Burung Hantu” dalam bahasa Rusia), yang pertama kali terdeteksi pada Agustus 2021, terkenal karena kemampuannya untuk melakukan serangan overlay, yang bekerja dengan menampilkan halaman penipuan menggunakan WebView dengan tautan yang disediakan oleh server C2 jika korban membuka aplikasi perbankan termasuk dalam daftar target aktifnya.
Beberapa bank yang ditargetkan oleh MaliBot menggunakan pendekatan ini termasuk UniCredit, Santander, CaixaBank, dan CartaBCC.
Layanan Aksesibilitas adalah layanan latar belakang yang berjalan di perangkat Android untuk membantu pengguna penyandang disabilitas. Ini telah lama dimanfaatkan oleh spyware dan trojan untuk menangkap konten perangkat dan mencegat kredensial yang dimasukkan oleh pengguna yang tidak menaruh curiga di aplikasi lain.
Selain dapat menyedot kata sandi dan cookie dari akun Google korban, malware ini dirancang untuk menggesek kode 2FA dari aplikasi Google Authenticator serta mengekstrak informasi sensitif seperti saldo total dan frasa awal dari aplikasi Binance dan Trust Wallet.
Terlebih lagi, Malibot mampu mempersenjatai aksesnya ke API Aksesibilitas untuk mengalahkan metode otentikasi dua faktor (2FA) Google, seperti permintaan Google, bahkan dalam skenario di mana upaya dilakukan untuk masuk ke akun menggunakan kredensial yang dicuri dari perangkat yang sebelumnya tidak dikenal.
“Fleksibilitas malware dan kontrol yang diberikannya kepada penyerang atas perangkat berarti bahwa pada prinsipnya, dapat digunakan untuk serangan yang lebih luas daripada mencuri kredensial dan cryptocurrency,” kata para peneliti.
“Faktanya, aplikasi apa pun yang menggunakan WebView bertanggung jawab atas pencurian kredensial dan cookie pengguna.”