Waspada, Clicker Trojan Tersebar di Google Play Store

California, Cyberthreat.id - Para peneliti Web Doctor  menemukan sebuah clicker Trojan yang dibundel dengan 33 aplikasi yang didistribusikan melalui Google Play Store. Clicker Trojan ini, dilaporkan telah diunduh oleh pengguna Android lebih dari 100 juta kali.

Clicker Trojan adalah jenis malware yang dirancang untuk tetap aktif dalam memori perangkat yang terinfeksi, dan melakukan berbagai tugas terkait penipuan iklan pada latar belakang, seperti membuka halaman web tanpa sepengetahuan korban.

Para peneliti Web Doctor mengungkapkan,  aplikasi ini berfungsi penuh, dan tidak menunjukkan tanda-tanda peringatan dalam antarmuka mereka. Sementara itu, juga tidak menunjukkan perilaku aneh yang ditampilkan oleh sebagian besar aplikasi berbahaya.

Seperti menyembunyikan ikon mereka setelah instalasi, atau meminta terlalu banyak izin dibandingkan dengan tugas yang dirancang untuk mereka lakukan.

“Malware dirancang sebagai modul jahat yang ditambahkan ke aplikasi yang tampaknya tidak berbahaya seperti pemutar audio, pemindai kode batang, kamus, dan sejumlah besar jenis perangkat lunak biasa yang kebanyakan orang akan instal di perangkat Android mereka,” kata Para Peneliti Web Doctor, seperti dilansir dari BleepingComputer, Sabtu (10 Agustus 2019).

Trojan clicker ini, dijuluki oleh para peneliti, sebagai Android.Click.312.origin, hanya akan aktif 8 jam setelah aplikasi yang berisi diluncurkan untuk menghindari deteksi. Selanjutnya, varian lain juga ditemukan saat menganalisis kampanye jahat ini, yang diberi nama Android.Click.312.origin.

Menurut para Peneliti, cara kerja dari Trojan Clicker ini, setelah meluncurkan pada salah satu perangkat Android yang dikompromikan, malware akan segera mulai mengumpulkan informasi sistem seperti,produsen dan model perangkat, negara tempat tinggal pengguna,jenis koneksi internet, zona waktu pengguna,serta info tentang aplikasi dengan modul Trojan clicker.

Semua informasi ini, kemudian dikemas dan dikirim ke server Command and Control (C&C) malware  yang pada gilirannya, akan mengirimkan kembali perintah dan modul baru untuk digunakan.

“Misalnya, untuk mendaftarkan penerima siaran dan pengamat konten, yang Android.Click.312.origin digunakan untuk memantau instalasi dan pembaruan aplikasi,” ungkap para peneliti.

Setelah pengguna menginstal aplikasi baru pada perangkat yang terinfeksi melalui Play Store atau dari installer APK, Trojan akan mengirim info dan data teknis pada perangkat dan aplikasi yang baru diinstal ke server C&C yang mengirimkan kembali URL untuk dibuka di browser.

"Jadi, tergantung pada pengaturan perintah dan kontrol server dan instruksi yang dikirimkannya, trojan tidak hanya dapat mengiklankan aplikasi di Google Play, tetapi juga memuat situs web secara diam-diam, termasuk iklan, bahkan video atau konten meragukan lainnya," Peneliti menemukan.

“Sebagai contoh, beberapa pengguna melaporkan di Play Store Google bahwa mereka secara otomatis berlangganan layanan penyedia konten premium setelah menginstal aplikasi yang berisi Trojan clicker Android.Click.312.origin,” tambah para peneliti.

Para Peneliti  Web Doctor kemudian melaporkan temuan mereka ke Google. Google, lalu menghapus beberapa aplikasi yang dilaporkan, sementara beberapa di antaranya diperbarui dan modul jahatnya dihapus.

Selain itu, tim peneliti Web Doctor juga menyarankan pengembang untuk secara bertanggung jawab memilih modul untuk memonetisasi aplikasi mereka dan tidak mengintegrasikan SDK yang meragukan ke dalam perangkat lunak mereka.