Agent Smith Menginfeksi 25 Juta Handphone Android

Guangzhou, Cyberthreat.id - Jika pernah menonton film Matrix, Anda pasti tahu siapa Agent Smith. Agen virtual yang melindungi dunia Matrix punya kemampuan menyamar seperti manusia dan menggandakan dirinya. Dunia Android sekarang punya malware bernama Agent Smith karena karakternya yang mirip tokoh antagonis di film Matrix. Agent Smith ini telah menginfeksi lebih dari 25 juta handphone Android. Demikian laporan perusahaan keamanan siber Check Point pada 10 Juli.

Mayoritas korban Agent Smith berada di India (15,2 juta), Bangladesh (2,5 juta), dan Pakistan (1,7 juta). Sebagian pengguna terinfeksi dalam 2 bulan terakhir. Check Point menemukan malware ini di awal tahun dan mendeteksi operatornya berada di Guangzhou, kota besar di barat laut Hong Kong berdasarkan analisis server command and control (C&C). "Kami menemukan operasi Agent Smith terkait dengan sebuah perusahaan internet di China yang berlokasi di Guangzhou yang berkedok bisnis yang sah, yakni membantu developer Android di China untuk mempublikasi dan mempromosikan aplikasi mereka di luar neger," catat periset Check Point.

Malware ini menargetkan handphone Android versi 5.0 dan 6.0, terutama yang belum menambal celah keamanan lama seperti Janus, bug Android yang telah diperbaiki Google pada Desember 2017. Bug ini memungkinkan hacker melewati pemeriksaan integritas aplikasi Android dan menggantinya dengan aplikasi lain yang sudah terinfeksi. Saat ini, setidaknya ada 11 aplikasi yang membawa Agent Smith di Google Play. Pada saat laporan Check Point dirilis, dua aplikasi yang terinfeksi Agent Smith telah diunduh sebanyak 10 juta kali, sementara sisanya masih menunggu calon korban. Check Point telah melaporkan aplikasi-aplikasi ini ke tim keamanan Google yang kemudian menyingkirkannya dari lapak Google Play. 

Di luar Google Play, aplikasi yang terinfeksi malware ini  biasanya menyamar sebagai Google Update atau Google Update for U. Malware ini menyebar di lapak-lapak pihak ketiga yang populer seperti 9App, milik UCWeb, yang populer bagi pengguna India, Arab, dan Indonesia.

Setelah berada di handphone yang terinfeksi, droppernya akan mendownload Agent Smith. Malware ini kemudian memindai aplikasi yang terinstall dan mengganti aplikasi original dengan tiruannya berdasarkan daftar target tertentu. Daftar ini berisi 16 aplikasi yang populer di pasar India seperti aplikasi Jio and Hotstar, juga aplikasi internasional seperti WhatsApp, AnyShare, Opera Mini, Flipkart, dan TrueCaller. Agent Smith akan menyuntikkan kode jahat ke dalam aplikasi asli dan memblok update aplikasi itu agar kode tersebut tidak hilang akibat update.

Proses kloning dan injeksi kode ini berlangsung tanpa sepengetahuan pemilik handphone, juga cukup inovatif. Periset Check Point cukup terkejut melihat aksi Agent Smith yang cukup hebat seperti itu hanya digunakan untuk menampilkan iklan. Mereka merasa teknik tersebut bisa digunakan untuk hal yang lebih berbahaya. "Sekarang malware ini hanya menampilkan iklan yang menyebalkan, besok ia bisa mencuri informasi rahasia, mulai dari pesan pribadi sampai informasi kredensial perbankan," kata Check Point.