Trojan Android BrazKing Kian Canggih Curi Kredensial Akun Perbankan

Cyberthreat.id – IBM Trusteer, divisi keamanan siber dari IBM Corp, pekan lalu merilis laporan terbaru terkait dengan perangkat lunak jahat (malware) berjuluk “BrazKing”.

BrazKing berupa trojan Android, berpura-pura sebagai aplikasi sah, yang menargetkan informasi perbankan dan masuk kategori alat akses jarak jauh (RAT).

“Trojan ini sebagian besar menargetkan pengguna mobile banking di Brasil dan kemungkinan dioperasikan oleh penjahat siber lokal,” tulis Nethanella Messer dan James Kilner, peneliti IBM Trusteer dikutip dari Security Intelligence, diakses Selasa (23 November 2021).

BrazKing bukanlah trojan baru, tapi dalam amatan peneliti IBM, saat ini versi terbaru telah berkembang; mereka lebih gesit dari sebelumnya dan mampu memindahkan mekanisme overlay inti untuk menarik layar overlay palsu dari server perintah dan kontrol (C2) secara waktu nyata—pendek kata, layar aplikasi palsu berada di atas aplikasi asli, sehingga pengguna sebetulnya sedang mengakses aplikasi jahat.

Versi lawas dari trojan ini menyalahgunakan Layanan Aksesibilitas Android untuk mendeteksi aplikasi mana yang dibuka pengguna. Ketika malware mendeteksi peluncuran aplikasi perbankan yang ditargetkan, malware itu digunakan untuk menarik layar overlay dari URL yang di-hardcode dan menampilkannya di atas aplikasi yang sah.

“Sekarang, malware mengotomatiskan panggilan ke server penyerang, meminta kecocokan data dengan cepat. Pendeteksian aplikasi mana yang sedang dibuka, sekarang dilakukan di sisi server, dan malware secara teratur mengirimkan konten di layar ke C2. Pengambilan kredensial kemudian diaktifkan dari server C2, dan bukan oleh perintah otomatis dari malware,” tutur peneliti.

BrazKing terbaru bekerja tanpa izin SYSTEM_ALERT_WINDOW sehingga lebih sulit dipahami dan kurang menimbulkan kecurigaaan.

Saat menampilkan layar overlay-nya, BrazKing memuat URL layar palsu dari C2 ke tampilan web di jendela. Tampilan web Sistem Android (Android System webview) memungkinkan pengguna untuk membuka tautan dalam aplikasi yang mereka gunakan tanpa harus keluar dari aplikasi.

“BrazKing menggunakan TYPE_ACCESSIBILITY_OVERLAY sebagai jenis jendela saat menambahkan tampilan web dari dalam Layanan Aksesibilitas. Jendela overlay ini kemudian ditampilkan di layar, mencakup aplikasi asli, bahkan layar seperti jendela menu 'Seetings',” ujar peneliti.

Peneliti mengatakan, di balik layar, saat menampilkan layar overlay kepada pengguna, BrazKing dapat mencegat tampilan di latar belakang, mengetuk tombol, bahkan memasukkan teks dalam tampilan teks Android, sementara aplikasi yang sah ditutupi dengan overlay palsu.

Dalam analisisnya, IBM Trusteer menemukan kemampuan BrazKing, antara lain:

• Membedah layar secara terprogram, bukan melakukan screenshot dalam format gambar. Ini berjalan pada ponsel yang tidak di-root yang memerlukan persetujuan jelas dari pengguna.
• Kemampuan keylogger (merekam tiap ketikan) dengan membaca tampilan di layar ponsel.
• Kemampuan RAT. BrazKing dapat memanipulasi aplikasi perbankan yang ditargetkan dengan mengetuk tombol atau memasukkan teks.
• Membaca SMS tanpa izin 'android.permission.READ_SMS' dengan membaca pesan teks yang muncul di layar.
• Baca daftar kontak tanpa izin 'android.permission.READ_CONTACTS' dengan membaca kontak di layar "Kontak".

Bagaiman trojan disebarkan?

Peneliti IBM Trusteer mengatakan, trojan BrazKing menginfeksi korban melalui pesan phishing. Penyerang menyebarkan URL yang mengarahkan ke situs web yang berpura-pura bakal diblokir. Dengan begitu, ini mengharuskan pengguna untuk “memperbarui” sistem operasi dengan mengetuk di halaman tersebut. Situs web ini memang berjalan dengan protokol HTTPS, sehingga tampak begitu kredibel.

Jika pengguna mengetuk pembaruan, maka unduhan BrazKing akan berjalan. “Aplikasi diunduh melalui browser, dan kemudian diinstal oleh manajer paket. Pengguna memang harus menyetujui unduhan aplikasi dari sumber yang tidak dikenal. Setelah pengunduhan awal, malware mencoba membuat pengguna menyetujui izin dengan kedok persyaratan Google,” ujar peneliti.

Pendek kata, inilah taktik rekayasa sosial dari penyerang. Dari instalasi itu, malware meminta akses ke Layanan Aksesibilitas. Jika telah disetujui, malware mulai mengaktifkan kemampuan screenshot dan keystrokes untuk dikirimkan ke server penyerang.

Menurut peneliti, penyerang merancang BrazKing untuk tidak mudah dihapus. Untuk mencegah penghapusan, malware mengambil alih saat pengguna mencoba menghapusnya. Dengan pemantauan Layanan Aksesibilitas, BrazKing diprogram untuk memperhatikan saat pengguna membuka layar pencopotan pemasangan.

“Jika pengguna mencoba mengembalikan perangkat ke setelan pabrik, BrazKing akan dengan cepat mengetuk tombol 'Back' dan 'Home' lebih cepat daripada yang bisa dilakukan manusia, mencegah mereka menghapus malware dengan cara itu,” kata peneliti.

Taktik yang sama digunakan saat pengguna mencoba berinteraksi dengan aplikasi antivirus, mengembalikannya ke layar beranda jika mereka mencoba meluncurkan aplikasi untuk menjalankan pemindaian atau karantina malware, peneliti menambahkan.

Skenario malware

Peneliti membuat skenario yang mungkin dipraktikkan oleh trojan BrazKing.

Pertama, server C2 mengirimkan perintah ke malware untuk menampilkan pesan di layar dan memikat pengguna untuk membuka aplikasi perbankan.

Kedua, server C2 mengirimkan perintah ke malware untuk membuka aplikasi perbankan.

Setelah, aplikasi perbankan terbuka, malware lalu memungkinkan peretas merekam keystrokes, mengekstrak kata sandi, mengambil alih, memulai transaksi, dan mengambil detail otorisasi transaksi lain untuk menyelesaikannya.

Selain taktik itu, malware juga memiliki skenario untuk mencuri 2FA. Pertama, ketika pengguna menerima otorisasi transaksi berbasis SMS dari bank, BrazKing dapat menampilkan kode PIN palsu di layar pengguna. Sementara, peretas mendapat kode PIN asli untuk menyelesaikan transaksi perbankan yang dilakukan pengguna.

“Skenario kedua, BrazKing menggunakan fitur keylogging untuk mencuri otentifkasi dua faktor berbasis SMS (2FA),” kata peneliti.[]

Redaktur: Andi Nugroho