Trojan Baru Targetkan WhatsApp, LINE, dan Facebook Messenger
WhatsApp | Foto: Cyberthreat.id/Faisal Hafis
Cyberthreat.id – Sebuah perangkat lunak jahat (malware) trojan baru terdeteksi menargetkan aplikasi olah pesan WhatsApp, LINE, dan Facebook Messenger.
Trojan selama ini terkenal sebagai pencuri informasi pribadi, seperti nama pengguna, ID pengguna, kata sandi, dan lain-lain. Malware satu ini umumnya menargetkan aplikasi perbankan atau keuangan.
Riset terbaru perusahaan keamanan siber asal AS, Cisco Talos, yang diterbitkan Selasa (19 Mei 2020), menyebutkan, trojan baru itu dijuluki “WolfRAT”. Sebuah varian baru dari “DenDroid”, trojan akses jarak jauh (RAT) yang beredar di perangkat seluler sebelumnya.
Cisco mengatakan, sejauh ini trojan baru tersebut menargetkan para pengguna Android di Thailand, demikian seperti diberitakan ZDNet, Selasa.
Sekadar diketahui, DenDroid adalah paket malware canggih yang kode sumbernya bocor pada 2015. Saat itu paket malware ini ditawarkan seharga US$ 300. Sejak kebocoran kode sumber itu, muncul varian yang memanfaatkan kode tersebut.
Berita Terkait:
- Cisco Talos Temukan Model Baru Trojan Android Gustuff
- Kaspersky Temukan Trojan Spyware, Menyusup di Aplikasi Visa dan Mencuri Data
- Awas Trojan PoetRAT Disebar via Email Phishing Covid-19
Rantai infeksi
WolfRAT, menurut Cisco, memulai rantai infeksinya melalui umpan palsu berkedok layanan sah, seperti Flash dan Google Play.
Jika seorang korban terjerat taktik tersebut, RAT akan menginstal dirinya di perangkat Android korban dan melakukan fungsi mata-mata.
Selain itu, malware tersebut juga mengumpulkan data perangkat, mengambil foto dan video, meretas pesan teks (SMS), merekam audio, dan mencuri file, lalu mentrasnfernya ke server jauh milik peretas.
Menurut Cisco, Facebook Messenger menjadi target serangan karena fungsi eksfiltrasi (mengambil) data bersamaan dengan pencurian riwayat browser.
Sementara, ketika WhatsApp sedang digunakan, misalnya, malware meluncurkan fungsi perekam layar selama 50 detik dan hanya berhenti ketika aplikasi ditutup.
Peneliti mengamati beberapa server peretas terletak di Thailand. Peretas menggunakan domain (alamat situs web) yang merujuk nama-nama makanan khas Negeri Seribu Pagoda tersebut.
Selain itu, peneliti juga menemukan perintah JavaScript yang ditulis dalam bahasa Thailand.
“WolfRAT kemungkinan hasil kerja penjual spyware Wolf Research,” demikian riset yang ditulis oleh tiga peneliti Cisco Talos: Warren Mercer, Paul Rascagners, dan Vitor Ventura.
Menurut perusahaan keamanan siber asal Spanyol, VirusTotal, pada 2018 Wolf Research menjual teknologi pengawasan kepada pemerintah dan menargetkan perangkat Windows, iOS, serta Android melalui notifikasi Google Chrome Update palsu.
Namun, kini Wolf Research telah ditutup dan berganti nama menjadi LokD.
Menurut peneliti, tampaknya malware masih terus dalam pengembangan. Yang jelas, mereka mengkhawatirkan, dengan kemampuan malware tersebut.
Apalagi aplikasi olah pesan tersebut paling populer dipakai di dunia, termasuk di Indonesia.[]
Redaktur: Andi Nugroho
