Trojan Perbankan Baru Ancam Pengguna Android di Eropa

Cyberthreat.id - Peneliti dari perusahaan keamanan siber Cleafy yang berbasis di Italia merilis temuan barunya tentang kemunculan trojan baru perbankan yang menargetkan pengguna Android di Eropa.

Dalam laporan yang diterbitkan pada Senin (10 Mei 2021), peneliti mengatakan trojan perbankan itu berisi malware yang mampu mencuri kredensial dan pesan SMS pengguna untuk memudahkan aktivitas penipuan terhadap bank di Spanyol, Jerman, Italia, Belgia, dan Belanda.

Malware, yang dijuluki "TeaBot" (atau Anatsa), diduga dalam tahap awal pengembangannya.

Mulai terendus aktivitasnya sejak Januari lalu, serangan yang lebih berbahaya yang menargetkan aplikasi keuangan dimulai pada akhir Maret 2021. Serangan Teabot yang lebih serius telah menargetkan bank-bank dari Belgia dan Belanda pada minggu pertama bulan Mei.

Cleafy mengatakan "Tujuan utama TeaBot adalah mencuri kredensial korban dan pesan SMS untuk memungkinkan skenario penipuan terhadap daftar bank yang telah ditentukan."

"Setelah TeaBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh streaming langsung layar perangkat (sesuai permintaan) dan juga berinteraksi dengannya melalui Layanan Aksesibilitas."

Aplikasi Android penipu meniru media dan layanan pengiriman paket seperti TeaTV, VLC Media Player, DHL, dan UPS. Malware bertindak sebagai dropper, memuat muatan tahap kedua dan memaksa korban untuk memberinya izin layanan aksesibilitas.

TeaBot menonaktifkan semua fitur keamanan di ponsel
TeaBot memanfaatkan akses untuk mencapai interaksi real-time dengan perangkat yang disusupi, memungkinkan pelaku kejahatan merekam penekanan tombol, mengambil tangkapan layar, dan memasukkan hamparan berbahaya di atas layar masuk di aplikasi perbankan. Dengan cara ini kata sandi dan informasi kartu kredit dapat diekstraksi.

TeaBot antara lain juga dapat menonaktifkan Google Play Protect, mencegat pesan SMS, dan mengakses kode Google Authenticator 2FA. Data yang dikumpulkan kemudian dikirim ke server jarak jauh yang dikendalikan oleh penyerang setiap 10 detik.

Dalam beberapa bulan terakhir, terjadi peningkatan malware Android yang menggunakan Layanan Aksesibilitas sebagai batu loncatan untuk mencuri data.

TeaBot tampaknya menggunakan umpan yang sama dengan Flubot, menyamar sebagai aplikasi pengiriman barang yang tidak berbahaya, yang bisa menjadi upaya untuk menangkis atribusi dan tetap berada di bawah radar.

Karena meningkatnya jumlah infeksi FluBot, Jerman dan Inggris mengeluarkan peringatan bulan lalu, peringatan serangan yang sedang berlangsung menggunakan pesan SMS phishing untuk mengelabui pengguna agar menginstal spyware yang mencuri sandi dan data sensitif lainnya. (Lihat: Katanya Aplikasi untuk Lacak Kiriman Paket, Ternyata Isinya Malware Flubot Pencuri Data).[]