Malware Perbankan Android Baru Ini Bisa Kendalikan Perangkat Korban dari Jarak Jauh
Ilustrasi
Cyberthreat.id – Peneliti keamanan siber dari ThreatFabric, menemukan malware perbankan baru bernama Octo yang bisa mengendalikan perangkat pengguna yang disebarkan melalui sejumlah aplikasi di android.
Dikutip dari Bleeping Computer, Octo merupakan malware Android yang dikembangkan berdasarkan ExoCompact, yang kode sumbernya bocor pada 2018. Malware ini memiliki kemampuan akses jarak jauh yang memungkinkan operator mengendalikan perangkat korbannya.
Varian terbaru dari malware ini ditemukan oleh para peneliti di ThreatFabric, yang mengamati beberapa pengguna yang ingin membelinya di forum darknet. Malware ini diketahui memiliki fitur baru yang lebih signifikan dibandingkan dengan ExoCompact yang sebelumnya.
Varian terbaru ini memiliki fitur akses jarak jauh yang disediakan melalui modul streaming layar langsung (diperbarui setiap detik) melalui Proyeksi Media Android dan tindakan jarak jauh melalui Layanan Aksesibilitas.
Octo menggunakan overlay layar hitam untuk menyembunyikan operasi jarak jauh korban, menyetel kecerahan layar ke nol, dan menonaktifkan semua notifikasi dengan mengaktifkan mode “no interruption”.
“Dengan membuat perangkat tampak dimatikan, malware dapat melakukan berbagai tugas tanpa sepengetahuan korban, tugas ini termasuk ketukan layar, gerakan, penulisan teks, modifikasi clipboard, menempelkan data, dan menggulir ke atas dan ke bawah,” kata peneliti ThreatFabric.
Peneliti mengatakan, selain sistem akses jarak jauh, Octo juga dilengkapi keylogger yang dapat memantau dan menangkap semua tindakan korban di perangkat Android yang terinfeksi. Ini termasuk PIN yang dimasukkan, situs web yang dibuka, klik dan elemen yang diklik, peristiwa yang mengubah fokus, dan peristiwa yang mengubah teks.
Selain itu, malware ini juga mendukung daftar perintah yang ekstensif, dengan fitur yang paling penting seperti memblokir pemberitahuan push dari aplikasi tertentu, mengaktifkan intersepsi SMS, me-nonaktifkan suara dan kunci layar perangkat untuk sementara, meluncurkan aplikasi tertentu, memulai dan menghentikan sesi akses jarak jauh, memperbarui daftar C2, membuka URL yang ditentukan, dan mengirim SMS dengan teks tertentu ke nomor telepon tertentu.
Menurut para peneliti, Octo dijual di forum, seperti forum peretasan XSS berbahasa Rusia, oleh aktor ancaman yang menggunakan nama alias “Architect” atau “Goodluck”. Selain itu, karena adanya kesamaan dengan ExoCompact, peneliti yakin ada kemungkinan besar bahwa 'Architect' adalah penulis yang sama atau pemilik baru kode sumber ExoCompact.
"Dengan demikian, dengan mengingat fakta-fakta ini, kami menyimpulkan bahwa ExobotCompact telah diganti namanya menjadi Trojan perbankan Android Octo dan disewakan oleh pemiliknya “Architect”,” kata para peneliti.
Peneliti menambahkan, aplikasi Google Play terbaru yang menginfeksi perangkat dengan Octo termasuk aplikasi bernama “Fast Cleaner”, yang memiliki 50.000 pemasangan hingga Februari 2022, saat ditemukan dan dihapus.
Kampanye Octo lainnya mengandalkan situs yang menggunakan pemberitahuan pembaruan browser palsu atau peringatan pembaruan aplikasi Play Store palsu.
Berikut ini sejumlah aplikasi yang mengandung malware Octo seperti Pocket Screencaster (com.moh.screen), Fast Cleaner 2021 (vizeeva.fast.cleaner), Play Store (com.restthe71), Postbank Security (com.carbuildz), Pocket Screencaster (com.cutthousandjs), BAWAG PSK Security (com.frontwonder2), dan Play Store app install (com.theseeye5). []
