FluBot, Trojan Pencuri Kredensial Perbankan Berkedok Adobe Flash Player

Cyberthreat.id – Anda pernah menerima sebuah SMS berisi notifikasi update aplikasi atau tautan ke sebuah situsweb tertentu?

Kebanyakan yang terjadi di Indonesia adalah penawaran hadiah atau layanan pinjaman uang online alias pinjol. Namun, dalam kasus khusus, teks SMS bisa berisi tautan sebuah situsweb atau aplikasi tertentu.

Semua teks seperti itu harus Anda cermati dan jangan sekali-kali mengklik tautan tersebut, kecuali Anda sudah yakin risikonya. Sebab, salah satu cara malware menginfeksi perangkat seluler Anda ialah melalui taktik tersebut.

Belum lama ini, peneliti MalwareHunterTeam menemukan sebuah malware yang disebarkan dengan taktik SMS phishing (smishing) di Polandia. Nama: FluBot.

Peneliti mengatakan, malware tersebut didistribusikan dengan berkedok aplikasi Flash Player. Faktanya, FluBot ialah aplikasi jahat yang meniru (trojan) seolah-olah sebagai aplikasi perbankan sah yang menyerang pengguna Android.

Trojan mencuri akun kredensial dengan menampilkan formulir login palsu yang halamannya mirip sekali dengan milik perbankan di beberapa negara.

Saat menyebarkan smishing itu, penjahat siber mencantumkan beberapa umpan untuk menarik minat pengguna, seperti pembaruan keamanan, Adobe Flash Player, memo pesan suara, dan pemberitahuan pengiriman pake. Namun, semuanya itu palsu.

Menurut peneliti, setelah FluBot menginfeksi, tugasnya pun berjalan seperti mencuri kredensial perbankan online, mengirim atau mencegat pesan SMS (termasuk kata sandi sekali pakai alias OTP), serta merekam tangkapan layar.

Dari situlah, penjahat siber kemudian memerintahkan malware untuk memakai perangkat korban “mengirimkan pesan smishing baru ke semua kontak di perangkat korban, ini biasanya menyebar bak api,” tulis BleepingComputer, mengutip temuan MalwareHunterTeam, diakses Minggu (9 Januari 2022).

Temuan di Polandia, FluBot mengirimkan smishing yang berisi: apakah penerima mau mengunggah video dari perangkat melalui sebuah tautan yang dilampirkan. Ketika tautan diklik, penerima pesan itu diarahkan ke halaman yang menawarkan APK Flash Player palsu. Aplikasi inilah yang membawa trojan FluBot.

Oleh karenanya, peneliti menyarankan agar pengguna Android selalu menghindari pemasangan aplikasi APK (file aplikasi) yang di-hosting di situsweb yang tak dikenali. Lebih baik, selalu menginstal dari toko aplikasi Google Play Store. Apalagi untuk merek terkenal, seperti Adobe, pengguna harus benar-benar cermat dengan alamat URL-nya agar tidak mudah tertipu.

Sejak Desember lalu

MalwareHunterTeam mengatakan trojan FluBot yang ditemukan beberapa hari lalu telah mengalami perkembangan. Trojan kali ini versi 5.2, berbeda dengan versi sebelumnya 5.0 yang lebih dulu dideteksi pada awal Desember 2021.

Dalam versi terbarunya, menurut peneliti, FluBot menggunakan 30 domain tingkat atas juga memiliki fitur perintah yang memungkinkan penyerang mengubah seed dari jarak jauh.

Di sisi komunikasi, FluBot baru terhubung ke server perintah dan kontrol (comman & control) melalui DNS tunneling dengan protokol HTTPS, sedangkan sebelumnya menggunakan port 443 HTTPS.

Perintah yang ditambahkan pada malware di versi 5.0, 5.1, dan 5.2, adalah sebagai berikut:

• Perbarui DNS resolver
• Perbarui DGA (domain generation algorithm) seed dari jarak jauh
• Kirim pesan SMS yang lebih panjang

Bersamaan dengan hal di atas, versi terbaru FluBot tetap memiliki kemampuan untuk:

• Buka URL sesuai permintaan
• Mencuri daftar kontak korban
• Meng-uninstall aplikasi yang ada
• Mematikan Android Battery Optimazation
• Menyalahgunakan Layanan Aksesibilitas Android untuk pengambilan layar dan keylogging
• Melakukan telepon sesuai permintaan
• Mematikan Google Play Protect
• Mencegat dan menyembunyikan pesan SMS baru untuk mencuri kode OTP
• Unggah SMS dengan informasi korban ke C2
• Mendapatkan daftar aplikasi untuk memuat injeksi overlay atau halaman palsu yang sesuai.

Singkatnya, FluBot tidak menghentikan perintah apa pun yang digunakan di versi sebelumnya dan hanya memperkaya kemampuannya dengan yang baru.

Pengamanan diri

Dalam banyak kasus, tautan untuk mengunduh FluBot bisa disebarkan melalui salah satu kontak Anda, bahkan mungkin teman atau keluarga.

Dengan demikian, jika Anda menerima SMS tidak biasa yang berisi URL dan mendesak Anda untuk mengkliknya, jangan tergesa-gesa untuk merespons. Tanyakan kembali ke orang tersebut (jika Anda mengenalnya) melalui medium lain, apakah dia sadar dan tahu yang dikirimkan tersebut.

Terakhir, hindari menginstal file APK dari sumber yang tidak biasa, periksa secara teratur apakah Google Play Protect diaktifkan di perangkat Android Anda, dan gunakan solusi keamanan seluler dari vendor terkemuka.[]