Peneliti Temukan 10 Aplikasi di Playstore Mengandung Malware Perbankan, Menyamar Sebagai VPN dan Pemindai QR
Aplikasi di Google Play Store yang ditemukan oleh Check Point mengandung malware perbankan
Cyberthreat.id – Peneliti dari perusahaan keamanan siber Check Point menemukan 10 aplikasi di Google Playstore yang mengandung malware perbankan.
Dikutip dari Info Security Magazine, peneliti Check Point menemukan aplikasi-aplikasi itu mengandung penginstal Clast82 untuk mengunduh malware ke perangkat target dan mampu menghindari deteksi oleh pemindai virus, lalu mengunduh malware setelah aplikasi diaktifkan.
Menurut temuan Check Point, aplikasi yang mengandung Clast82 itu berupa aplikasi VPN, pembaca QR, dan pemutar musik. Nama aplikasinya antara lain: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcoe Scanner MAX, eVPN, Music Player, dan QRecorder.
Manajer riset seluler di Check Point, Aviran Hazum, mengatakan Clast82 memiliki kemampuan menghindari deteksi oleh Google Play Protect, dan mengubah muatannya ke AlienBot Banker dan MRAT, trojan akses jarak jauh seluler yang mampu mengontrol ponsel korban dari jarak jauh dengan TeamViewer, seolah ponsel itu adalah miliknya.
Keluarga malware AlienBot adalah jenis malware-as-a-Service (MaaS) untuk perangkat Android yang memungkinkan penyerang jarak jauh memasukkan kode berbahaya ke dalam aplikasi keuangan yang sah untuk mendapat akses ke akun korban.
Hazum menjelaskan, Clast82 melewati pemindai keamanan Google Play Protect dengan dua taktik utama. Yang pertama adalah dengan menggunakan Firebase milik Google untuk komunikasi command-and-control (C&C). Diketahui, Firebase adalah layanan dari Google untuk mempermudah kerja para pengembang aplikasi. Dengan menggunakan layanan Google, sistem akan membacanya sebagai sumber terpercaya. Bahkan, aktor ancaman di baliknya juga dapat menonaktifkan Clast82 ketika sedang dievaluasi oleh Google.
Kedua, Clast82 akan mengunduh payload dari GitHub, yang membuat pengembang baru di Google Play menggunakan payload tersebut untuk setiap aplikasi, di samping repositori di akun GitHub mereka. Ini memungkinkan penyerang untuk mendistribusikan muatan yang berbeda ke perangkat yang terinfeksi oleh setiap versi aplikasi yang berbahaya.
“Para korban mengira mereka mengunduh aplikasi utilitas yang tidak berbahaya dari pasar Android resmi, tetapi yang sebenarnya mereka dapatkan adalah Trojan berbahaya yang datang langsung ke akun keuangan mereka,” tambahnya.
Hazum menambahkan, kemampuan penginstal malware (dropper) menghindari deteksi sistem keamanan menunjukkan pentingnya pengguna memasang solusi keamanan seluler di perangkat mereka. Tidak cukup hanya memindai aplikasi selama periode tertentu, karena aktor ancaman dapat mengubah perilaku aplikasi menggunakan alat pihak ketiga yang sudah tersedia.
Check Point juga menemukan semua aplikasi bermasalah itu didaftarkan ke Google Play oleh pengembang yang sama yang menggunakan email sbarkas77590@gmail.com
Check Point telah melaporkan temuannya ke Google pada 28 Januari 2021, Check Point dan Google telah mengambil langkah cepat dengan menghapus semua aplikasi yang mengandung Clast82 dari Google Play pada 9 Februari.[]
Editor: Yuswardi A. Suud
