Malware Ini Mampu Reset Pabrik hingga Transfer Uang di Android Korban
Android | Foto: Unsplash
Cyberthreat.id – Sebuah peranti lunak jahat (malware) Android ini memungkinkan peretas mereset perangkat ke setelan pabrik secara jarak jauh.
Skema itu bagian dari pengelabuan agar korban tidak menyadari bahwa perangkat Android-nya telah disusupi, demikian temuan perusahaan keamanan siber Cleafy, dikutip dari The Record, Selasa (25 Januari 2022).
Sampel baru dari malware “BRATA” itu terlihat sejak Desember 2021. Malware ini sebetulnya telah dikenali sejak 2018, juga dijuluki sebagai “Brazilian Remote Access Tool Android, sebagai salah satu trojan Android yang aktif menargetkan kredensial login akun keuangan.
“Taktik geng BRATA yaitu menipu pengguna awam agar menginstal aplikasi ini,” ujar peneliti yang menjelaskan bahwa aplikasi-aplikasi biasanya disebarkan di situs-situsweb tak aman dengan taktik phishing.
Sejak 2018, geng BRATA telah menggunakan taktik ini untuk mendapatkan pijakan di ponsel Android, mencari aplikasi e-banking, mengelabui korban dengan layar login palsu, dan kemudian mengumpulkan kredensial perbankan milik korban.
Bahkan, beberapa aplikasi yang disusupi BRATA sempat lolos di Play Store pada awal 2021.
Kirim uang
Fitur yang ditambahkan dalam versi baru juga memungkinkan malware untuk memulai transaksi keuangan dari perangkat yang diretas.
Menurut peneliti, adanya fitur reset pabrik merupakan tambahan yang cerdas untuk mencegah korban mendapatkan peringatan tepat waktu tentang transfer uang yang mencurigakan, karena aplikasi e-banking akan dihapus dari perangkat selama reset pabrik.
Karena pemilik perangkat akan mencari tahu mengapa aplikasinya yang diinstal hilang, mereka tidak sadar dengan transaksi di rekening banknya—mungkin bisa sampai beberapa hari ke depan, ujar peneliti.
Selain itu, reset pabrik juga menghapus aplikasi berbahaya yang berisi trojan BRATA, secara efektif menghapus bukti forensik dari mana serangan itu berasal.
Namun, peneliti Cleafy mengatakan, reset pabrik juga dapat dilakukan sebagai upaya untuk menjalankan trojan BRATA di lingkungan virtual. Dalam hal ini, BRATA menggunakan reset pabrik untuk melindungi diri dari pemindaian antivirus.
Malware lain
Reset pabrik BRATA adalah metode unik yang digunakan oleh malware untuk melindungi dirinya sendiri, tetapi ini bukan pertama kalinya malware Android melakukannya.
Pada 2016, malware Android bernama ”Android.SmsSpy” juga mengunci perangkat dengan menyimulasikan serangan seperti ransomware untuk mengalihkan perhatian pengguna dari pencurian kredensial perbankannya.
Teknik yang sama disalin malware Android lain bernama “Fanta SDK”.
Dalam beberapa tahun terakhir, Anubis, trojan perbankan Android lainnya, juga telah menggunakan sesuatu yang mirip dengan teknik BRATA.
Dilengkapi kolektor data GPS
Selain fitur reset pabrik, sampel BRATA versu baru juga memiliki fitur mengumpulkan data geo-lokasi GPS dari perangkat yang terinfeksi.
Namun, ini tampaknya masih dalam pengembangan, menurut tim Cleafy.
Cleafy mengatakan mereka melihat sampel malware BRATA baru ini di aplikasi berbahaya yang didistribusikan di Amerika Latin, Italia, Polandia, dan Inggris.
Sejauh ini, peneliti belum melihat BRATA versi baru menyusup ke aplikasi di Play Store.
Cara untuk menghindari malware Android ini yaitu pengguna memperhatikan izin apa yang diminta aplikasi Android selama instalasi dan tidak menginstal aplikasi yang meminta akses ke "Hapus semua data".[]
