Penjahat Cyber Akses Akun Rekening Bank Rp3,7 Triliun
Ilustrasi.
Cyberthreat.id - Para peneliti mengungkap skema trojan perbankan Android yang berdampak pada ratusan juta orang Rusia, dan mengakses akun rekening bank dengan total Rp3,7 triliun. Malware bernama Geost ini didistribusikan melalui operasi botnet kejahatan cyber yang terdiri dari 13 server command-and-control dan lebih dari 140 domain jahat.
Adalah trio peneliti yang berbasis di Republik Ceko: Sebastian Garcia dari Czech Technical University di Praha; Maria Jose Erquiaga dari UNCUYO University; dan Anna Shirokova, security researcher at di Avast Software, yang menemukan trojan itu. Hasil penelitiannya, menurut SC Magazine, telah dipublikasikan pada Rabu (2 Oktober).
Disampaikan melalui aplikasi palsu dan berbahaya, Geost menaklukan perangkat Android sehingga penyerang dapat berinteraksi dari jarak jauh dengan layanan web dari lima bank tertentu di Eropa Timur. Disebutkan, para penyerang sangat berpotensi mencuri uang. Para peneliti belum secara terbuka mengidentifikasi lima bank.
Laporan itu juga menyinggung korban keenam, yang digambarkan sebagai penyedia layanan pembayaran elektronik Rusia yang diperdagangkan secara publik.
Penyerang juga dapat memperoleh akses ke sejumlah data yang berkaitan dengan korban dan ponsel mereka, dan bahkan dapat memilah-milah pesan SMS pengguna, termasuk yang secara sah dikirim oleh bank.
Para peneliti telah menautkan lebih dari 150 file APK (application package) berbahaya ke operasi, yang telah aktif sejak setidaknya 2016. APK adalah format berkas untuk mendistribusikan dan memasang software dan middleware ke ponsel dengan sistem operasi Android.
Salah satu server C&C Geost ditemukan mengandung 1.452 halaman informasi korban, dengan 50 korban terdaftar per halaman dengan perkiraan total 72.600 korban.
Pada satu halaman sampel, para peneliti mengamati satu set 50 korban yang secara kolektif memiliki 1.129.152 rubel, atau sekitar 15.000 Euro, di rekening bank mereka. Menyadari setidaknya 12 server Geost C&C tambahan, para peneliti memperkirakan data untuk memproyeksikan bahwa penjahat cyber di balik operasi ini bisa memiliki akses ke 871.200 akun, secara kolektif menampung sekitar 240 juta Euro (sekitar Rp3,73 triliun).
Melalui exfiltrasi data, penyerang telah dapat mengumpulkan intelijen sensitif seperti merek telepon, penyedia layanan nirkabel, nomor telepon, nomor IMEI, versi Android, apakah pengguna memiliki hak admin atau tidak, negara tempat ponsel itu berada dan rekening bank.
Laporan itu menyebutkan, informasi tambahan yang dikumpulkan dengan menguping pada pesan SMS dapat termasuk nama dan alamat pengguna, hubungan, agama, pembelian dan pengeluaran, dan masalah keuangan.
Para peneliti menggali Geost sementara sebenarnya menyelidiki malware botnet yang tidak terkait yang dikenal sebagai HtBot, yang mengubah mesin korban menjadi proxy zombie, di mana penjahat cyber dapat mengarahkan komunikasi C&C mereka. Ternyata, para aktor Geost memilih membayar layanan proxy ilegal ini, yang menurut para peneliti tidak dipelihara dengan baik.
Itu adalah kesalahan operasional keamanan (OpSec) kejahatan penjahat cyber yang pertama, satu dari lima kesalahan utama yang dikutip oleh para peneliti.
"... Para penyerang memiliki model risiko yang cacat ketika memilih platform komunikasi yang tepat untuk menyembunyikan jejak mereka," kata laporan itu sebagaimana dikutip SC Magazine. “Mereka mengambil jaringan proxy ilegal, tidak tahu bahwa jaringan sedang dipantau oleh laboratorium kami. Alih-alih mempercayai penyedia komunikasi yang baik, mereka mempercayai keamanan jaringan ilegal yang tidak dijaga dengan baik."
Kesalahan kedua adalah botoster Geost tidak repot-repot mengenkripsi komunikasi C&C mereka dengan benar, yang memungkinkan para peneliti melihat lalu lintas jaringan mereka. Memang, para peneliti pertama kali diberi petunjuk untuk aktivitas Geost karena jumlah besar data tidak terenkripsi yang luar biasa yang diamati dirutekan melalui jaringan proxy HtBot.
Kesalahan ketiga, salah satu anggota geng Geost menggunakan jaringan proxy HtBot yang sama untuk kedua kalinya. “Ini adalah perkiraan besar risiko keamanan menggunakan layanan yang sama dua kali. Pendekatan yang lebih baik adalah mengubah metode koneksi setiap kali,” para peneliti menjelaskan, menambahkan bahwa login kedua ini memungkinkan mereka memantau dan pada akhirnya menangkap kredensial pelaku.
Menurut laporan itu, operasi kejahatan dunia maya juga membuat kesalahan dalam merekrut pengembang malware yang tidak memiliki keterampilan OpSec. Ini dibuktikan dengan ditemukannya halaman web publik yang berisi file yang mereferensikan domain Geost.
File tersebut ternyata berupa log dari chat teks yang mencakup delapan bulan obrolan Skype, banyak di antaranya tampaknya melibatkan berbagai anggota operasi Geost. Selain itu, chat ini tidak dienkripsi, yang memungkinkan para peneliti menyelidiki intelijen open-source ke dalam operasi cybercriminal.
Log chat bahkan mengungkapkan kredensial untuk sejumlah server dan layanan, serta ID dompet online dan nomor kartu kredit. "Informasi ini membantu kami menemukan informasi sensitif tentang identitas beberapa individu," kata laporan itu sebagaimana dikutip SC Magazine.
Satu chat log sebenarnya menunjukkan satu konspirator yang rindu untuk meninggalkan operasi: “Tapi sekarang saya mengatakan saya bekerja tetapi sebenarnya saya tidak. Saya kehilangan motivasi dan tidak ingin melakukan apa-apa ... saya memikirkannya, dan saya tidak mau,” kata pengguna, yang memakai taganchik.ru nama olahraga online.
Pengguna lain, powerfaer, menjawab, “Pahami, ok. Malu. Jika Anda berubah pikiran, tuliskan kepada saya ”. Pada satu titik sebelumnya dalam percakapan, powerfaer sebenarnya merujuk pada taganchik.ru dengan nama aslinya, Alexander.
"Penemuan botnet perbankan Geost Android di dalam lalu lintas proksi malware lain menunjukkan bahwa keamanan operasional sangat sulit untuk diperbaiki, dan bahwa kesalahan sederhana dapat mengarah pada pemahaman mendalam tentang operasi pembuat malware," kata laporan itu menyimpulkan.
Setelah penemuan bot bot Geost mengakses server C&C mereka, ada kemungkinan untuk menemukan lebih banyak potongan infeksi botnet, yang mengarah ke pemetaan infrastruktur serangan yang sangat besar, biner APK mereka, jumlah korban yang terinfeksi, dan perkiraan dari ukuran ekonomi dari operasi."
Para peneliti mempresentasikan makalah mereka di konferensi Buletin Virus di London. []
