Hati-hati Install Aplikasi, Ada Gelombang Adware
Ilustrasi adware
Cyberthreat.id - Peneliti ESET menyatakan terdapat gelombang adware di Google Play yang telah di install sebanyak 8 juta kali dalam setahun terakhir. Adware terdapat di 42 aplikasi yang telah dihapus Google Play, tetapi telah menyebarkan gelombang adware sejak Juli 2018.
"Dari 42 aplikasi, 21 aplikasi (yang mengandung adware) masih tersedia di toko pihak ketiga," ungkap peneliti ESET dilansir Industry Safety and Security Source (ISS Source), Senin (28 Oktober 2019).
ESET mendeteksi adware sebagai Android/AdDisplay.Ashas. Seorang peneliti Malware ESET, Lukas Stefanko mengatakan ketika aplikasi di install, semua fungsi di dalamnya masih berjalan bagus, tetapi fungsinya telah disusupi adware.
"Fungsionalitas adware adalah sama di semua aplikasi yang kami analisis," ujar Stefanko.
Ia menuturkan, setelah aplikasi di install, aplikasi mulai berkomunikasi dengan server C&C-nya (yang alamat IP-nya di-encode base64 dalam aplikasi). Aplikasi yang terkena adware mengirim data kunci beranda/home seperti jenis perangkat, OS yang digunakan, bahasa, jumlah aplikasi yang diinstal, ruang penyimpanan gratis, status baterai, apakah perangkat di-rooting dan mode Developer diaktifkan, hingga apakah Facebook dan FB Messenger diinstal.
Aplikasi menerima data konfigurasi dari server C&C, yang diperlukan untuk menampilkan iklan termasuk untuk stealth dan ketahanan. Menurut Stefanko, mekanisme security di dalam perangkat yang terdampak seperti trik.
"Penyerang menggunakan sejumlah trik," ujarnya.
Aplikasi yang mengandung adware mencoba atau menentukan apakah mereka sedang diuji oleh mekanisme keamanan Google Play. Untuk tujuan ini, aplikasi menerima bendera "isGoogleIp" dari server C&C, yang menunjukkan apakah alamat IP perangkat yang terkena dampak berada dalam kisaran alamat IP yang diketahui oleh server Google.
"Jika server mengembalikan tanda security sebagai positif, aplikasi tidak memicu muatan adware."
Aplikasi yang mengandung adware dapat mengatur apakah iklan ditampilkan seperti iklan customize/menyesuaikan.
"Sampel yang kami temukan memiliki konfigurasi untuk menunda menampilkan iklan pertama 24 menit setelah perangkat dibuka," katanya.
Berdasarkan respons server, aplikasi juga dapat menyembunyikan ikonnya dan membuat pintasan/shortcut. Jika pengguna biasa mencoba menyingkirkan aplikasi jahat, kemungkinan hanya shortcut yang dihapus. Aplikasi kemudian terus berjalan di latar belakang tanpa sepengetahuan pengguna.
"Teknik ini telah mendapatkan popularitas di antara ancaman terkait adware yang didistribusikan melalui Google Play."
Setelah aplikasi jahat menerima data konfigurasinya, perangkat yang terpengaruh siap untuk menampilkan iklan sesuai pilihan penyerang; setiap iklan ditampilkan sebagai aktivitas layar penuh. Stefanko mengatakan ia berhasil melacak perilaku aplikasi yang mengandung adware menggunakan open source intelijen.
"Kami dapat melacak pengembang adware Ashas dan mengetahui identitasnya," kata Stefanko.
Berbagai teknik siluman dan ketahanan yang diterapkan dalam adware menunjukkan pelakunya sadar akan sifat jahat dari fungsi iklan-iklan yang ditampilkan dan berusaha menyembunyikannya. Intinya, iklan-iklan yang ditampilkan pada perangkat yang terkena adware adalah mesin uang bagi pelaku.
