Trojan Ini Menyusup ke Google Play Store, Berpura-pura sebagai 'Fast Cleaner'

Cyberthreat.id – Trojan pencuri informasi perbankan berhasil menyusup ke toko aplikasi Google Play Store dan menginfeksi lebih dari 50.000 ponsel Android.

Peneliti keamanan siber ThreatFabric menemukan trojan bernama “Xenomorph” tersebut menyamar sebagai aplikasi pembersih ponsel Fast Cleaner.

Aplikasi utilitas semacam itu ialah iming-iming klasik yang dipakai aktor di balik penyebaran trojan, “karena selalu ada minat orang untuk menginstalnya demi meningkatkan kinerja perangakt Android,” tulis BleepingComputer, diakses Selasa (22 Februari 2022).

Menurut peneliti, meski peranti lunak jahat (malware) tersebut masih dalam tahap awal, jangkauan Xenomorph telah sampai di pengguna di Spanyol, Portugal, Italia, dan Belgia.

“Kode malwarenya mirip dengan trojan perbankan Alien. Ini menunjukkan keduanya saling terhubung,” tutur peneliti.

Trojan keduanya memiliki kemampuan serupa yaitu mencuri informasi aplikasi keuangan, mengambil alih akun, melakukan transaksi ilegal. Aktor di balik malware tersebut juga menjual data korban di forum peretasan.

‎Malware dapat mencegat notifikasi, mencatat SMS, dan membuat serangan overlay (jendela phishing) sehingga sudah dapat merebut kredensial dan kata sandi satu kali yang digunakan untuk melindungi akun perbankan.‎

Bagaimana menghindari pengawasan Google Play Store?

Menurut peneliti ThreatFabric, untuk menghindari penolakan selama peninjauan aplikasi di Google Play Store (Google memiliki Google Protect yang memindai aplikasi jahat), Fast Cleaner mengambil muatan jahat (payload) setelah proses instalasi di perangkat korban.

“Inilah yang membuat aplikasi bersih saat pengiriman (di toko aplikasi),” tutur peneliti.

ThreatFabric mengatakan, aplikasi tersebut sebagai anggota keluarga penetes "Gymdrop", pertama kali ditemukan pada November 2021, yang menyamar sebagai aplikasi manajemen Google Play, Chrome, atau Bitcoin.‎

‎Setelah instalasinya, tindakan pertama yang diambil oleh aplikasi adalah mengirim kembali daftar paket yang diinstal pada perangkat yang terinfeksi untuk memuat jendela overlay yang sesuai.‎

Malware meminta pemberian izin “Layanan Aksesibilitas” pada saat instalasi, dan kemudian menyalahgunakan hak istimewa untuk memberikan izin tambahan sesuai kebutuhan.‎

‎Secara keseluruhan, tutur peneliti, malware dapat menambahkan kemampuan tingkat berikutnya kapan saja, karena hanya implementasi kode kecil dan modifikasi yang diperlukan untuk mengaktifkan fungsi penyedotan data yang luas.‎

‎ThreatFabric menilai Xenomorph bukanlah ancaman kuat saat ini karena statusnya yang "sedang dikembangkan". Namun, pada waktunya, itu bisa mencapai potensi penuhnya, "sebanding dengan trojan Android Banking modern lainnya."‎

‎Untuk menghindari malware Android yang mengintai di Play Store, pengguna harus menghindari menginstal aplikasi yang memberi janji-jani begitu muluk. Periksalah ulasan pengguna lain terkadang dapat membantu menghindari aplikasi berbahaya.‎[]