Google menghapus enam aplikasi Android berbahaya yang menargetkan sebagian besar pengguna di Inggris dan Italia yang diinstal sekitar 15,000 kali.
Para peneliti telah menemukan malware Android pencuri info Sharkbot bersembunyi tak terduga di kedalaman Google Play store di bawah perlindungan solusi anti-virus (AV).
Saat menganalisis aplikasi mencurigakan di toko, tim Check Point Research (CPR) menemukan solusi AV asli yang mengunduh dan menginstal malware, yang mencuri kredensial dan info perbankan dari perangkat Android tetapi juga memiliki berbagai fitur unik lainnya.
“Sharkbot memikat korban untuk memasukkan kredensial mereka di jendela yang meniru formulir input kredensial jinak,” tulis peneliti CPR Alex Shamsur dan Raman Ladutska dalam sebuah melaporkan diterbitkan Kamis. “Ketika pengguna memasukkan kredensial di jendela ini, data yang dikompromikan dikirim ke server jahat.”
Para peneliti menemukan enam aplikasi berbeda—termasuk yang bernama Atom Clean-Booster, Antivirus; Pembersih Super Antivirus; dan Center Security-Antivirus—menyebarkan Sharkbot. Aplikasi tersebut berasal dari tiga akun pengembang—Zbynek Adamcik, Adelmio Pagnoto, dan Bingo Like Inc.—setidaknya dua di antaranya aktif pada musim gugur tahun lalu. Garis waktunya masuk akal, karena Sharkbot pertama kali datang ke peneliti layar radar pada bulan November.
“Beberapa aplikasi yang ditautkan ke akun ini telah dihapus dari Google Play, tetapi masih ada di pasar tidak resmi,” tulis para peneliti. "Ini bisa berarti bahwa aktor di balik aplikasi tersebut mencoba untuk tetap berada di bawah radar saat masih terlibat dalam aktivitas jahat."
Google menghapus aplikasi yang melanggar, tetapi tidak sebelum mereka diunduh dan diinstal sekitar 15,000 kali, kata para peneliti. Target utama Sharkbot adalah pengguna di Inggris dan Italia, seperti yang terjadi sebelumnya, kata mereka.
Aspek Unik
Peneliti CPR mengintip di bawah kap Sharkbot dan menemukan tidak hanya taktik mencuri info yang khas, tetapi juga beberapa karakteristik yang membedakannya dari malware Android biasa, kata para peneliti. Ini termasuk fitur geofencing yang memilih pengguna berdasarkan wilayah geografis, mengabaikan pengguna dari China, India, Rumania, Rusia, Ukraina atau Belarus, kata mereka.
Sharkbot juga menawarkan beberapa teknik pintar, catat para peneliti. "Jika malware mendeteksi itu berjalan di kotak pasir, itu menghentikan eksekusi dan berhenti," tulis mereka.
Ciri unik lainnya dari malware adalah penggunaan Domain Generation Algorithm (DGA), aspek yang jarang digunakan dalam malware untuk platform Android, kata para peneliti.
“Dengan DGA, satu sampel dengan benih yang di-hardcode menghasilkan tujuh domain per minggu,” tulis mereka. “Termasuk semua benih dan algoritma yang telah kami amati, ada total 56 domain per minggu, yaitu, 8 kombinasi benih/algoritma yang berbeda.”
Para peneliti mengamati 27 versi Sharkbot dalam penelitian mereka; perbedaan utama antara versi adalah benih DGA yang berbeda serta bidang botnetID dan ownerID yang berbeda, kata mereka.
Secara keseluruhan, Sharkbot mengimplementasikan 22 perintah yang memungkinkan berbagai tindakan jahat dieksekusi pada perangkat Android pengguna, termasuk: meminta izin untuk mengirim pesan SMS; mencopot pemasangan aplikasi tertentu; mengirim daftar kontak perangkat ke server; menonaktifkan pengoptimalan baterai sehingga Sharkbot dapat berjalan di latar belakang; dan meniru sapuan pengguna di atas layar.
Garis Waktu Kegiatan
Para peneliti pertama kali menemukan empat aplikasi Sharkbot Dropper di Google Play pada 25 Februari dan tak lama kemudian melaporkan temuan mereka ke Google pada 3 Maret. Google menghapus aplikasi tersebut pada 9 Maret tetapi kemudian penetes Sharkbot lainnya ditemukan enam hari kemudian, pada 15 Maret.
CPR melaporkan penetes ketiga segera ditemukan dan kemudian menemukan dua penetes Sharkbot lagi pada 22 Maret dan 27 Maret yang juga mereka laporkan dengan cepat ke Google untuk dihapus.
Dropper tempat Sharkbot menyebar di dalam dan dari dirinya sendiri harus menimbulkan kekhawatiran, kata para peneliti. “Seperti yang dapat kita nilai dari fungsionalitas dropper, kemungkinan mereka jelas menimbulkan ancaman bagi diri mereka sendiri, lebih dari sekadar menjatuhkan malware,” tulis mereka dalam laporan tersebut.
Secara khusus, peneliti menemukan penetes Sharkbot menyamar sebagai aplikasi berikut di Google Play;
- com.abbondioendrizzi.tools[.]supercleaner
- com.abbondioendrizzi.antivirus.supercleaner
- com.pagnoto28.sellsourcecode.alpha
- com.pagnoto28.sellsourcecode.supercleaner
- com.antivirus.centersecurity.freeforall
- com.centersecurity.android.cleaner
Dropper juga memiliki beberapa taktik penghindaran mereka sendiri, seperti mendeteksi emulator dan berhenti jika ditemukan, catat para peneliti. Mereka juga dapat memeriksa dan bertindak pada semua peristiwa UI perangkat serta mengganti pemberitahuan yang dikirim oleh aplikasi lain.
“Selain itu, mereka dapat menginstal APK yang diunduh dari CnC, yang menyediakan titik awal yang nyaman untuk menyebarkan malware segera setelah pengguna menginstal aplikasi semacam itu di perangkat,” tambah peneliti.
Google Play Di Bawah Api
Google memiliki lama berjuang dengan kegigihan aplikasi berbahaya dan malware di toko aplikasi Android dan telah melakukan upaya yang signifikan untuk membersihkan tindakannya.
Namun, kemunculan Sharkbot yang menyamar sebagai solusi AV menunjukkan bahwa penyerang semakin licik dalam menyembunyikan aktivitas jahat mereka di platform, dan dapat merusak kepercayaan pengguna di Google Play, catat seorang profesional keamanan.
“Aplikasi malware yang menyembunyikan fungsi jahatnya dengan penundaan waktu, pengaburan kode, dan geofencing dapat menjadi tantangan untuk dideteksi selama proses peninjauan aplikasi, tetapi keteraturan bahwa mereka ditemukan bersembunyi di toko aplikasi resmi benar-benar merusak kepercayaan pengguna terhadap keamanan semua aplikasi di platform,” kata Chris Clements, wakil presiden arsitektur solusi di firma keamanan Penjaga Cerberus, dalam email ke Threatpost.
Dengan smartphone sebagai pusat kehidupan digital masyarakat dan bertindak sebagai pusat aktivitas keuangan, pribadi, dan pekerjaan, “malware apa pun yang membahayakan keamanan perangkat sentral semacam itu dapat menyebabkan kerusakan finansial atau reputasi yang signifikan,” tambahnya.
Profesional keamanan lainnya mendesak agar pengguna Android berhati-hati saat memutuskan apakah akan mengunduh aplikasi seluler dari toko vendor terkemuka atau tidak, meskipun itu merek tepercaya.
“Saat memasang aplikasi dari berbagai toko teknologi, yang terbaik adalah meneliti aplikasi sebelum mengunduhnya,” kata James McQuiggan, advokat kesadaran keamanan di TahuBe4. "Penjahat dunia maya suka menipu pengguna agar memasang aplikasi jahat dengan fungsi tersembunyi dalam upaya mencuri data atau mengambil alih akun.”
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- Keamanan seluler
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- website security
- zephyrnet.dll
