Daam, Varian Malware Android yang Mampu Sadap Panggilan WhatsApp hingga Sebarkan Ransomware

Cyberthreat.id – Sebuah varian perangkat lunak jahat (malware) baru sedang disebarkan peretas di internet. Dinamai "Daam", malware ini memiliki kemampuan yang canggih, bahkan mampu menyebarkan ransomware di ponsel korban.

Daam ditemukan pada 17 April 2023 oleh tim riset intelijen ancaman CloudSEK, perusahaan keamanan siber asal Singapura. "Malware ditemukan berkomunikasi dengan tiga file Android APK, yang kemungkinan sebagai sumber infeksi," tutur peneliti dalam laporan yang diunggah di blog perusahaan, Selasa (25 April 2023).

Peneliti mengamati beberapa situsweb yang menawarkan gratis dari aplikasi tersebut—sebagian dari situsweb telah ditandai berbahaya oleh sejumlah platform sandboxing online.

Tiga aplikasi yang terkait dengan Daam, yaitu "Currency_Pro_v3.2.6.apk", "PsiphonAndroid.s.apk", dan "Boulder.s.apk".

Menurut peneliti, Currency Pro merupakan penyedia kurs konversi mata uang asing; Boulder adalah game pengumpulan harta dengan bertambang, dan Psiphon Android yaitu aplikasi untuk Windows dan seluler yang menyediakan akses tanpa sensor untuk konten internet; pendek kata, untuk menerobos konten-konten yang diblokir.

Situsweb yang menyebarkan Daam. Sumber: CloudSEK.

Daftar situsweb yang menyebarkan file APK jahat tersebut, antara lain napkforpc.com, apk-new.com, Andyroid.net, Apkod.com, Androidfreeware.mobi, 333download.com, Downloadpark.mobi, Androidtop.net, dan apktoy.com.

Setelah diselidiki, tim peneliti CloudSEK menemukan bahwa tiga aplikasi tersebut menggunakan file paket berbahaya yang umum bernama "com.android.callservice".

"(Tiga) aplikasi trojan ini digunakan untuk mendistribusikan Daam. Meski sampel yang dianalisis tidak menunjukkan perilaku jahat, paket spesifik yang menggunakan file ini terlibat dalam aktivitas, seperti mengambil nama akun Google, merekam telepon, panggilan VoIP, dan audio, mendapatkan akses ke kamera, memodifikasi kata sandi perangkat, mengakses daftar kontak, menangkap tangkapan layar, mencuri pesan SMS, mengambil bookmark browser Chrome, mengunduh / mengunggah file, mengenkripsi file menggunakan algoritma AES, dll," tutur peneliti.

Daam memiliki kemampuan canggih, antara lain

• Setelah terinstal di perangkat korban, malware akan memeriksa jeroan perangkat, yang sekiranya membatasi dirinya untuk bergerak lebih jauh. Artinya, malware mencoba mencari tahu program antivirus jika ada di perangkat.
• Ketika terinstal, aplikasi trojan (tiga aplikasi terinfeksi Damm di atas) meminta akses izin, seperti merekam audio, membaca riwayat bookmark, menghentikan proses latar belakang, dan membaca seluruh log panggilan.
• Mampu menghindari pemeriksaan keamanan dari berbagai merek seluler.
• Mencuri data yang tersimpan di perangkat. Malware mampu menjelajah semua direktori lokal yang dapat dibaca dan mampu mengekstrak semua file dari perangkat korban.
• Mencuri seluruh kontak di perangkat, bahkan kontak yang baru saja ditambahkan.
• Merekam panggilan audio baik seluler maupun VoIP, selanjutnya mengirimkan data tersebut ke server Command & Center milik peretas.

"Malware juga mencuri ID paket aplikasi tertentu yang memiliki fungsi layanan VoIP, seperti WhatsApp, Hike, dan lain-lain untuk merekam panggilan VoIP," tutur peneliti.

Dengan begitu, panggilan WhatsApp termasuk rentan dari serangan malware Daam ini.

Kemampuan yang paling mengerikan adalah malware memanfaatkan algoritma enkripsi AES untuk mengenkripsi semua file di perangkat korban. Inilah yang disebut sebagai ransomware.

Setelah enkripsi, semua file terenkripsi dihapus dari penyimpanan lokal, lalu hanya menyisakan file terenkripsi dengan tambahan .enc extension.

"Malware mengenkripsi file menggunakan algoritma AES yang ada di direktori root dan kartu SD dan menjatuhkan file  readme_now.txt," kata peneliti. File teks tersebut kemungkinan besar adalah catatan uang tebusan yang diminta peretas yang ditawarkan jika korban ingin filenya kembali terbuka.[]