Trojan RAT Membidik Pengguna Android Zoom

Cyberthreat.id – Gerakan mereka tak pernah terduga, tanpa aba-aba, dan seketika membuat target tak berdaya. Selayaknya operasi gerilya, para penjahat siber (cybercrook) mengintai korban dengan berbagai cara—biasanya menunggu korban terlena.

Dan, klik!

Korban masuk ranjau. Perangkat lunak berbahaya (malware)  pun menjalar ke sistem perangkat korban.

Gambaran serangan itu baru-baru ini terlihat oleh perusahaan perangkat lunak antivirus asal Rumania, Bitdefender. Peneliti menemukan ancaman yang menargetkan pengguna Zoom.

Aplikasi telekonferensi video itu mendadak populer sejak pandemi global Covid-19. Ketika pemerintah dan perusahaan “merumahkan” pegawainya dan bekerja dari rumah (work from home/WFH), demi menghambat virus corona meluas, rapat-rapat daring dilakukan, tak terkecuali belajar daring oleh siswa dan sekolah.

Sepanjang Maret lalu, unduhan Zoom melonjak drastis. (Baca: Zoom Kalahkan Microsoft Teams Selama Work From Home)

Naik daunnya Zoom ternyata menjadi daya tarik cybercrook. Awalnya, gangguan pengguna berupa “zoombombing”; kehadiran orang tak dikenal di pertemuan kuliah atau rapat kantor, yang menampilkan video atau gambar pornografi.

Namun, baru-baru ini, ancaman itu lebih serius lagi seperti yang ditemukan peneliti Bitdefender: serangan adware dan trojan akses jarak jauh.

Ranjau malware itu ditebar di luar toko aplikasi (Play Store). Dan, memang, secara khusus menargetkan pengguna Android.

Peneliti Bitdefender meneliti tiga sampel ancaman, ini sampel pertama:

• Sampel yang dianalisis: 30a1a22dcf7fa0b62809f510a43829b1
• Nama paket: us.zoom.videomeetings
• Deteksi: Android.Trojan.Downloader.UJ
• Label aplikasi: Zoom

“Malware ini memiliki komponen yang disuntikkan dalam aplikasi Zoom yang dikemas ulang (repackage) lalu dipasarkan ulang melalui pasar pihak ketiga,” tulis peneliti Bitdefender di blog perusahaan, Selasa (31 Maret 2020).

Menurut peneliti, penjahat mengkloning aplikasi asli sehingga memilik antarmuka (interface) tampak meyakinkan dan sah. Malware yang disuntikkan perangkat lunak palsu itu didesain untuk mengunduh muatan utama dari infrastruktur perintah dan kontrol (C2) di tcp[:]//googleteamsupport[.]ddns.net:4444.

“Ini adalah layanan DNS (domain name system) dinamis yang memungkinkan pengguna dengan alamat IP dinamis untuk memetakannya ke subdomain, sehingga mereka dapat menawarkan layanan tanpa gangguan, bahkan ketika alamat IP dinamisnya berubah,” tulis peneliti.

Dalam penyelidikannya, subdomain tersebut diarahkan ke alamat IP di Yordania (92.253.77.106) yang menautkan ke sweetman2020 [.] No-ip []. Biz; yang digunakan sebagai server C2 untuk Trojan akses jarak jauh Android (RAT)—dikenal sebagai SandoRAT dan DroidJack.

Berita Terkait:

• Setop Bagikan Tautan Rapat Zoom di Medsos, Ada Zoombombing!
• Zoom di iOS Kirim Data ke Facebook Diam-diam
• Tips Agar Rapat Online Zoom Anda Tidak Disusupi Zoombombing
• Zoom Kalahkan Microsoft Teams Selama Work From Home

Target China dan AS

Selain itu, peneliti juga meneliti sampel kedua, seperti di bawah ini, dan menemukan file installer Zoom APK yang telah tercemar malware iklan (adware) dan menargetkan pengguna di China. Setelah diinstal, aplikasi meminta izin ponsel, lokasi, dan foto. Perangkat lunak ini dirancang untuk menampilkan iklan kepada para korban, tetapi hanya sesaat.

Berikut sampel kedua:

• Sampel yang dianalisis: fb5243138a920129dd85bb0e1545c2be
• Nama paket: us.zoom.videomeetings
• Deteksi: Android.Adware.Downloader.BC
• Label aplikasi: Zoom
• Target: China

“Ketika korban mengetuk ikon aplikasi, aplikasi tersebut tidak melakukan apa-apa, atau menampilkan sebentar iklan sebelum menutup sendiri,” tulis peneliti.

Korban baru mendapati iklan segera setelah mereka mencoba untuk “Join a Meeting”. Pengguna akan terus menerima iklan ini sampai mereka menekan tombol “X”.

Pada sampel ketiga, peneliti menganalisis ancaman yang menargetkan pengguna Amerika Serikat. Sampel ini mencoba menyamar sebagai aplikasi Zoom dan membujuk korban untuk menginstalnya.

Berikut sampel ketiga:

• Sampel yang dianalisis: 9930b683d4b31a3398da0fb75c27d056
• Nama paket: app.z1_android_421120320_app_original_file
• Deteksi: Android.Trojan.HiddenAds.AJR
• Label aplikasi: ZOOM Cloud Meetings

“Saat dibuka, aplikasi awalnya menyembunyikan dirinya dari menu. Kemudian memulai alarm berulang yang secara acak mengirim intens ke Layanan Iklan (Ad Service). Layanan ini kemudian memulai AdActivity yang membuka iklan. Tautan dapat ditemukan di sumber daya: adsforapp1 [.]com,” tulis peneliti.

Selanjutnya, kata peneliti, malware melanjutkan dengan memeriksa string lain yang dikodekan dalam aset, yang disebut “admin”. Jika string benar, ia meminta hak admin perangkat. Jika salah, malware mencoba mengunduh file lain ketika diluncurkan.

Ketika dibuka, aplikasi diarahkan untuk mengunduh komponen tambahan. Sampel tersebut juga meminta izin admin perangkat dalam bahasa Inggris atau Rusia, berdasarkan bahasa default ponsel. “Malware juga memiliki kemampuan untuk memulai sendiri ketika perangkat dihidupkan,” tulis peneliti.[]