Awas! Worm Android Disebarkan via WhatsApp, Berkedok Aplikasi Huawei Mobile

Cyberthreat.id – Sebuah perangkat lunak jahat (malware) disebarkan oleh penjahat siber melalui jaringan pesan daring WhatsApp yang berpura-pura sebagai aplikasi Huawei Mobile.

ESET, perusahaan keamanan siber asal Slowakia, mengatakan, malware  tersebut mula-mula menyebar dari ponsel yang telah terinfeksi.

Cara penyebarannya adalah ketika seorang pengguna WhatsApp mengirim pesan apa pun ke ponsel yang telah terinfeksi, ponsel tersebut akan membalas otomatis ke pengirim tersebut dengan sebuah tautan aplikasi Huawei Mobile.

Namun, aplikasi tersebut sebetulnya palsu dan berbahaya, jelas peneliti malware ESET Lukas Stefanko dalam risetnya yang diunggah di welivesecurity.com, situs web khusus yang dipakai ESET mempublikasikan sejumlah temuan insiden siber dan tips, pada 26 Januari 2021.

Malware yang pertama kali dilaporkan oleh seorang pengguna Twitter @ReBensk tersebut, menurut Stefanko, tampaknya untuk mendulang pendapatan iklan penipuan bagi operator di belakangnya.

Tautan berbahaya itu beralamat di http://play.google.store.apps.details.settings.pw/play?=1 disertai keterangan ajakan untuk mengunduh aplikasi.

Tautan itu sangat meyakinkan karena penerima pesan diarahkan ke halaman yang sangat mirip dengan Google Play Store.

Bahkan, dalam laman palsu itu, peretas membuat semacam kolom ulasan atau penilaian yang biasanya ada di laman resmi Play Store.

Ditamba pula, penerima tautan itu dijanjikan akan mendapatkan hadian berupa ponsel jika mengunduh aplikasi melalui tautan itu.

Namun, jika diperhatikan dan dibandingkan dengan URL Google Play Store yang resmi (https://play.google.com/) akan terlihat berbeda.

Halaman tautan itu berisi aplikasi Huawei Mobile palsu. Jika pengguna mengklik instal, alih-alih diarahkan membuka aplikasi Google Play Store resmi di ponsel Anda, malah pengguna diarahkan untuk mengizinkan instalasi aplikasi dari tempat lain.

Jika pengguna itu menyetujui instal, aplikasi kemudian meminta sejumlah izin, seperti akses notifikasi (notification access) dan fungsi balas langsung (directly reply) Android.

Dari kedua izin tersebut, menurut Stefanko, malware dapat secara efektif merespons dengan pesan khusus setiap mendapatkan pesan notifikasi WhatsApp yang diterima.

Malware kemudian berjalan di latar belakang, sambil menunggu notifikasi pesan WhatsApp untuk kemudian menyebarkan tautan berisikan malware tadi

Aplikasi palsu itu juga meminta izin lain, yaitu menarik aplikasi lain, yang memungkinkan untuk menutupi aplikasi lain yang sedang berjalan di perangkat. Juga, izin untuk mengabaikan/menolak pengoptimalan baterai—biasanya muncul ketika baterai perangkat telah terkuras banyak.

Malware tersebut disebut “worm” karena mampu menyebarkan dirinya secara otomatis. Worm ini memasang waktu sekitar satu jam untuk merespon notifikasi pesan WhatsApp.

Sederhananya, ketika perangkat yang terinfeksi worm mendapatkan notifikasi pesan, worm akan mengirim tautan berisi malware itu lebih dari satu jam, tidak langsung meresponsnya, kata Stefanko.

Hal itu, menurut dia, agar tidak menimbulkan kecurigaan antara kontak korban.

Meski untuk saat ini tampaknya hanya bagian dari adware, Stefanko mengatakan, bisa saja malware itu berubah lebih buruk di kemudian hari

"Malware ini mungkin dapat mendistribusikan ancaman yang lebih berbahaya karena teks pesan dan tautan ke aplikasi berbahaya diterima dari server penyerang. Bisa saja mendistribusikan trojan perbankan, ransomware, atau spyware,” kata dia.

ESET pun menghimbau agar pengguna WhatsApp tidak mengklik tautan sembarangan yang mencurigakan dan hanya mengunduh aplikasi dari toko aplikasi resmi Google Play Store.[]

Redaktur: Andi Nugroho

Berikut ini video penjelasan dari ESET: