Aplikasi File Manager Android Menginfeksi Ribuan Pengguna Dengan Malware Sharkbot

Cyberthreat.id – Peneliti keamanan dari Bitdefender mengungkapkan pihaknya menemukan sejumlah aplikasi Android berbahaya yang menyamar sebagai file manager, menyusup ke Google Play dan menginfeksi pengguna dengan trojan perbankan Sharkbot.

Dikutip dari Bleeping Computer, aplikasi ini tidak tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya dari sumber yang berbeda diluar aplikasi.

“Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot,” kata peneliti Bitdefender.

Sharkbot sendiri adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman. Malware ini terus berkembang, muncul di Play Store dengan berbagai samaran atau dimuat dari aplikasi trojan.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store. Namun, banyak pengguna yang mengunduhnya sebelumnya mungkin masih menginstalnya di ponsel mereka atau masih menderita sisa infeksi malware yang belum ditemukan.

Aplikasi jahat pertama adalah 'X-File Manager' oleh Victor Soft Ice LLC (com.victorsoftice.llc), diunduh 10.000 kali melalui Google Play sebelum Google akhirnya menghapusnya. Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

“Dari hasil analisis, para penyerang melakukan penargetan yang sempit dalam kampanye ini. hal tersebut karena sebagian besar korban gelombang distribusi Sharkbot tertentu berada di Inggris Raya, diikuti oleh Italia, Iran, dan Jerman,” kata peneliti.

Peneliti menyebutkan, aplikasi ini akan meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll. Namun, izin ini tampak normal dan diharapkan dalam konteks aplikasi manajemen file, sehingga pengguna cenderung memperlakukan permintaan dengan hati-hati.

“Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal,” kata peneliti.

Aplikasi jahat kedua yang memasang trojan perbankan adalah 'FileVoyager' oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play. FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah 'LiteCleaner M' (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

Saat ini, aplikasi ini hanya tersedia melalui toko aplikasi pihak ketiga seperti APKSOS. Toko aplikasi pihak ketiga yang sama menampung pemuat Sharkbot keempat bernama 'Phone AID, Cleaner, Booster 2.6' (om.sidalistudio.developer.app).

Jika aplikasi ini diinstal, pengguna Android harus segera menghapusnya dan mengubah kata sandi untuk rekening bank online apa pun yang mereka gunakan. Saat pelaku ancaman mendistribusikan aplikasi ini langsung dari Google Play, cara terbaik untuk melindungi diri Anda adalah dengan tetap mengaktifkan layanan Play Protect sehingga aplikasi berbahaya dihapus saat terdeteksi. Selain itu, aplikasi antivirus keamanan seluler Android akan membantu mendeteksi lalu lintas dan aplikasi berbahaya, bahkan sebelum dilaporkan ke Google Play.