FunkyBot, Malware Peretas SMS Ini Sasar Ponsel Android
Ilustrasi. Simulasi peretasan dalam sebuah acara kompetisi siber di Jakarta, beberapa waktu lalu. | Foto: Cyberthreat.id/Rahmat Herlambang
Cyberthreat.id – Malware Android yang dijuluki "FunkyBot" mulai muncul di Jepang dan dugaan kuat telah dioperasikan oleh penyebar malware FakeSpy yang ditemukan pada tahun lalu.
FunkyBot ditemukan oleh peneliti FortiGuard Labs, lembaga riset milik perusahaan cybersecurity asal California, AS, Fortinet. Menurut peneliti, FunkyBot mencegat pengiriman pesan SMS yang dikirim ke dan dari perangkat terinfeksi.
“Malware tersebut menyamar sebagai aplikasi Android yang sah,” demikian seperti dikutip dari Threatpost, Jumat (6 September 2019).
Malware bisa memanen daftar kontak korban dan bisa memerintah untuk mengirimkan pesan SMS ke semua orang dalam daftar kontak.
Peneliti menemukan “payload” yang terdiri dari dua file .dex: Satu file salinan dari aplikasi sah asli yang ditiru oleh malware, sedang lainnya kode berbahaya.
Payload adalah sebuah struktur kode khusus yang bertujuan mengirim kode data. Pendek kata, ia adalah pengangkut malware atau kode berbahaya.
"Menarik untuk dicatat bahwa malware mengidentifikasi penyedia kartu SIM dan mencari secara khusus untuk penyedia telekomunikasi Jepang tertentu," jelas Dario Durando, peneliti FortiGuard.
Cara menyebar
Pertama-tama, pengangkut malware tadi akan menentukan versi Android pada ponsel yang sedang dipakai. Setelah itu, payload diinstal.
Peneliti Dario Durando mengatakan, malware menggunakan cara unik untuk berkomunikasi dengan server perintah dan kontrol (command and control/C2).
“Sama seperti yang dilakukan Anubis (malware Android perbankan) melalui akun Telegram dan Twitter palsu, FunkyBot menggunakan media sosial untuk mendapatkan C2-nya. Malware mengunduh halaman web dari akun Instagram tanpa foto. Kemudian, mengekstrak bidang biografi akun ini dan menerjemahkannya menggunakan Base64, ”jelas Durando seperti dikutip dari Cyware.
Setelah koneksi ke server C2, FunkyBot mengumpulkan informasi berikut ini dari perangkat yang terinfeksi:
- Nomor IMEI
- Nomor IMSI (International Mobile Subscriber Identity); 15 digit kode unik secara internasional yang digunakan untuk mengidentifikasikan pengguna dalam sebuah jaringan GSM.
- Nomor telepon
- Daftar kontak
Setelah mengirim semua kontak perangkat, FunkyBot menunggu server C2 untuk merespons nomor telepon dan badan pesan untuk membuat sebuah pesan SMS yang siap dikirimkan.
“Strategi ini telah digunakan oleh banyak kampanye malware, termasuk FakeSpy dan MoqHao,” kata Durando.
FunkyBot juga dapat mengubah pengaturan perangkat untuk menjadikan dirinya (malware tersebut) sebagai aplikasi penangan SMS default.
“Fungsi ini bisa sangat berbahaya mengingat sebagian besar bank saat ini menggunakan otentikasi dua faktor melalui SMS,” kata Durando.
Klik di sini untuk melihat penjelasan detail dari FortiGuard.
