Menyusup ke Jaringan Iklan, Malvertising LuckyBoy Targetkan Pengguna iOS, Android dan XBox
Ilustrasi malvertising via securitynewspaper.com
Cyberthreat.id – Pengguna iOS, Android, dan Xbox menjadi target dari serangan malvertising LuckyBoy yang canggih.
Malvertising adalah pola penyebaran malware dengan memanfaatkan jaringan periklanan online. Pelaku menyebarkan iklan yang telah disusupi dengan potongan kode script berbahaya.
Dikutip dari Security Week, kampanye yang dilakukan LuckyBoy sudah aktif sejak Desember 2020, dan berhasil menembus lebih dari 10 Demand-Site Platform (DPS) atau platform sisi permintaan, terutama yang berbasis di Eropa, dan juga berdampak pada pengguna di AS dan Kanada.
Sekedar informasi Demand-Site Platform merujuk kepada platform yang diprogram otomatis untuk menjalankan dan mengoptimalkan kampanye iklan secara online. Sebagai contoh, Google punya Goodle Adsense yang secara otomatis menyebarkan iklan ke situs-situs web yang bekerjasama dengan Google dengan memasang kode script dari Google Adsense. Nantinya, iklan dari Google itu akan muncul otomatis di situs-situs mana pun yang terhubung lewat kode script Google, umumnya berdasarkan tag atau kata kunci dalam konten website. Sebuah artikel berisi ulasan tentang sepatu di sebuah website, misalnya, kemungkinan besar akan otomatis diisi dengan iklan merek sepatu dari Google. Karena sifatnya yang terhubung otomatis itulah, membuat malvertising menjadi momok lantaran bisa menyusup ke mana-mana.
Menurut peneliti keamanan dari Media Trust, LuckyBoy memiliki kemampuan untuk mendeteksi apakah perangkat yang ditargetkan punya fitur pemblokir, lingkungan pengujian, dan debugger aktif. Jika terdeteksi ada, LuckyBoy tidak akan dijalankan di perangkat tersebut.
Jika berhasil menyusup dan menginfeksi perangkat korban, LuckyBoy akan mengeksekusi piksel pelacakan yang diprogram untuk mengarahkan pengguna ke konten berbahaya, termasuk halaman phishing dan pembaruan perangkat lunak palsu.
Saat melakukan serangan, LuckyBoy akan memanen data perangkat yang cukup banyak, seperti kode negara, ukuran layar, informasi grafik, jumlah inti CPU, level baterai, domain (nama situs) yang sedang dikunjungi, plugin, keberadaan webdriver dan lainnya. Informasi ini kemungkinan besar akan digunakan dalam serangan lebih besar di masa depan.
Selain itu, peneliti juga melihat LuckyBoy memeriksa apakah nilai variabel global terpenuhi. Jika tidak, script akan menghentikan eksekusi dan keluar setelah mengirimkan materi iklan yang bersih kepada pengguna.
“LuckyBoy kemungkinan sedang melakukan tes, menyelidiki untuk mengukur keberhasilan mereka sebelum meluncurkan serangan yang lebih luas. Kampanye dikonfirmasi untuk dijalankan pada tag yang dibungkus dengan kode pemblokiran malware, melewati pertahanan sebagai bukti mereka sangat canggih,” ungkap para peneliti.
Setelah menemukan LuckyBoy, Media Trust telah bekerjasama dengan Google dan TAG Threat Exchange untuk mengisolasi dan memblokir serangan LuckyBoy ke pengguna mereka.
Pada Oktober 2019 lalu, malvertising ini bahkan ditemukan di situs ternama New York Times, yang disisipkan ke iklan dari Google Adsense. Pengunjung situs yang menyangka itu iklan yang sahih dan aman, kemugkinan besar akan mengklik iklan itu. Saat itulah perangkat pengguna terinfeksi.
Ikan di New York Times itu berisi promosi aplikasi konverter PDF. Begitu iklan diklik, pengunjung dibawa ke laman situs yang tampak kredibel. Ada tombol untuk mengunduh aplikasi PDF konverter secara gratis. Kemudian muncul notifikasi di bagian kanan tengah berbunyi "Dengan mengklik tombol, Anda setuju menginstall Homepage & New Tab dan menyetujui EULA (End User License Agreement atau adalah perjanjian antara pembuat aplikasi perangkat lunak dan pengguna aplikasi) dan Privacy Policy". Permintaan izin seperti ini merupakan pintu masuk malware dan sering luput dari perhatian.
Setelah aplikasi diunduh, pengunjung dibawa ke laman phishing yang akan membajak browser dan fungsi pencarian. Aplikasi ini secara otomatis akan menjalankan konten malware di dalam browser. Jika dibaca EULA dan Privacy Policy aplikasi tersebut, ada pernyataan bahwa pengembang aplikasi tidak bertanggung jawab terhadap setiap aksi pihak ketiga yang mendapat akses melalui produk tersebut. Ini artinya, jika memasang aplikasi tersebut, korban menyetujui dirinya dan komputernya terekspos semua jenis kegiatan yang bisa merugikan mereka.[]
Editor: Yuswardi A. Suud
Artikel terkait:
