Ngeri! Malware Android Nyamar Jadi System Update, Begini Cara Kerjanya

Malware-Android-Notification

Peneliti dari Zimperium temukan malware Android yang menyamar menjadi 'System Update' guna untuk mengecoh pengguna agar tertarik untuk melakukan pembaruan palsu pada ponsel. Jenis malware ini mampu mencuri data pengguna termasuk mengontrol perangkat jarak jauh.

Malware baru ini dikategorikan sebagai aplikasi berbahaya yang berfungsi untuk mengontrol perangkat jarak jauh atau lebih dikenal dengan Remote Access Trojan (RAT). Informasi yang dicuri ialah merekam audio perangkat, mengambil foto dan mengakses pesan WhatsApp. Penggunaan malware Android ini bisa juga ditujukan untuk aksi spyware dunia maya.

"Aplikasi 'System Update' diidentifikasi oleh peneliti zLabs yang melihat aplikasi Android terdeteksi oleh mesin malware z9 yang menjalankan zIPS pada deteksi perangkat. Setelah melakukan penyelidikan, kami menemukan bahwa itu adalah kampanye spyware yang canggih dengan kemampuan yang kompleks. Kami juga mengonfirmasi dengan Google bahwa aplikasi tersebut tidak dan belum pernah ada di Google Play." kata peneliti zLabs.

Setelah diinstal, ia mendaftar dengan server perintah dan kontrol (C&C) Firebase-nya sendiri, yang biasanya digunakan oleh pengembang Android yang sah, serta server C&C independen kedua, untuk mengirimkan cache informasi awal. Ini termasuk informasi tentang apakah WhatsApp dipasang atau tidak, persentase baterai, statistik penyimpanan, dan informasi lainnya. Itu hanya dapat diinstal dari tempat lain dan bukan dari Google Play Store.

Kemudian, malware akan menerima perintah dari penyerang untuk memulai tindakan mengontrol perangkat Android termasuk merekam audio dari mikrofon atau eksfiltrasi data. Peneliti zLabs juga mengatakan bahwa malware mampu memeriksa history web, mencuri video dan gambar, memantau lokasi GPS hingga mengambil data kontak telepon dan log panggilan.

Malware ini menyembunyikan ikonnya dari menu utama perangkat, sementara juga menyamar sebagai aplikasi 'System Update' yang sah untuk menghindari kecurigaan. Saat layar perangkat dimatikan, spyware membuat pemberitahuan 'mencari pembaruan' menggunakan layanan perpesanan Firebase yang memungkinkannya untuk menghasilkan pemberitahuan push.

Fungsionalitas spyware dipicu dalam berbagai kondisi, termasuk ketika kontak baru ditambahkan, pesan teks baru diterima atau aplikasi baru dipasang. Itu dilakukan dengan mengeksploitasi penerima Android termasuk 'contentObserver' dan 'Broadcast', yang memungkinkan komunikasi antara perangkat dan server.

Layanan perpesanan Firebase hanya digunakan untuk memulai fungsi berbahaya, seperti perekaman audio atau eksfiltrasi data, dengan mengirimkan perintah ke perangkat yang terinfeksi. Data itu sendiri kemudian dikumpulkan oleh server C&C khusus kedua.

Spyware juga hanya mengumpulkan informasi terkini, dengan kecepatan refresh sekitar lima menit untuk data lokasi dan jaringan. Hal yang sama berlaku untuk foto yang diambil menggunakan kamera perangkat, tetapi nilainya malah disetel ke 40 menit.

Para peneliti sejauh ini tidak dapat menentukan siapa yang berada di balik kampanye tersebut, atau apakah peretas mencoba menargetkan pengguna tertentu. Mengingat spyware ini hanya dapat diunduh di luar Google Play Store, pengguna sangat disarankan untuk tidak mengunduh aplikasi ke ponsel mereka dari sumber pihak ketiga yang tidak aman.

Berikut beberapa perintah yang ada di malware Android System Update:
  • lo : Monitoring GPS
  • co : Melihat daftar kontak
  • log : Melihat panggilan log
  • me : Membaca pesan SMS
  • ph : Mencuri foto thumbnails
  • vi : Mencuri video di galeri
  • re : Merekam audio mikrofon
  • ca : Mengambil gambar dengan kamera
  • dca : Memilih kamera belakang atau depan
  • rf : Refresh perangkat
  • modd : Mengizinkan perangkat untuk upload file
Meski berfitur lengkap, malware ini memiliki batasan utama yaitu, ketidakmampuan untuk menginfeksi perangkat tanpa terlebih dahulu menipu pengguna untuk membuat keputusan yang dianggap tidak aman oleh orang yang lebih berpengalaman. Pertama, pengguna harus mengunduh aplikasi dari sumber pihak ketiga. Meskipun Google Play Store bermasalah, biasanya ini adalah tempat yang lebih tepercaya untuk mendapatkan aplikasi. Pengguna juga harus ditipu daya menggunakan teknik social enginering untuk mengaktifkan layanan aksesibilitas agar beberapa fitur lanjutan berfungsi.

Posting Komentar

0 Komentar