Unbox.id – Pengguna Android tampaknya semakin mewaspadai semakin maraknya peredaran aplikasi berbahaya yang mampu melewati sistem keamanan Google Play Store. Karena diunduh dari toko aplikasi resmi Google, tentu saja banyak pengguna yang menganggap aplikasi yang diunduh aman dari malware. Faktanya, mereka telah menjadi korban kejahatan dunia maya tanpa mereka sadari. Hal ini terungkap dalam laporan dari grup keamanan siber Zscaler ThreatLabz. Mengutip laporan mereka, ada lebih dari 90 aplikasi Android berbahaya di Google Play Store. Yang mengejutkan adalah total unduhan dari 90 aplikasi Android berbahaya diunduh lebih dari 5,5 juta kali di Play Store, toko aplikasi Google, dan oleh pengguna tablet atau ponsel Android Top. Dalam laporan Zscaler ThreatLabz, mereka melihat peningkatan aktivitas dari Trojan perbankan bernama Anatsa. Juga dikenal sebagai Teabot, Trojan ini menargetkan lebih dari 650 lembaga keuangan di seluruh dunia. Trojan ini memiliki kemampuan untuk mencuri informasi perbankan dan digunakan untuk melakukan transaksi penipuan tanpa sepengetahuan korban. Trojan yang menyamar sebagai aplikasi resmi di Play Store, mungkin telah menginfeksi 150.000 perangkat hanya dalam beberapa bulan dari akhir 2023 hingga Februari 2024.
Tipu Sistem Keamanan Google Play Store
Aplikasi Android Berbahaya. (Sumber: Gadget Informations)
Zscaler ThreatLabz mengatakan: “Malware Anatsa menyamar sebagai aplikasi bernama “PDF Reader & File Manager” dan “QR Reader & File Manager” untuk menipu korbannya.”
Saat ini, kedua aplikasi Aplikasi ini telah dihapus dari Play Store setelah sebelumnya dihapus. diunduh. 70 ribu kali. Jadi bagaimana penjahat dunia maya di balik penyebaran malware ini bisa menipu sistem keamanan Play Store? Dikatakan bahwa penulis menggunakan beberapa langkah untuk menghindari deteksi oleh keamanan Google? Dengan kemampuan tersebut, sistem keamanan semakin sulit dideteksi.
Selain malware Anatsa, tim peneliti keamanan juga memiliki lebih dari 90 aplikasi yang menyebarkan beberapa jenis malware terkenal seperti Joker, Facestealer, Coper. dan Adwre.
Sayangnya, peneliti tidak menyebutkan nama-nama aplikasi berbahaya yang ditemukan di Play Store. Namun, mereka mengklaim bahwa malware tersebut menyamar sebagai aplikasi produktivitas, fotografi, kesehatan, dan lainnya.
Pembaruan Palsu Google Play Sebarkan Malware Antidot
Malware tersebut menunjukkan bahwa laman pembaruan Google Play palsu ini mendukung berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris.
Dengan dukungan untuk berbagai bahasa, ini berarti penjahat membuat malware Antidot yang menargetkan berbagai jenis pengguna dan negara di seluruh dunia. Bagaimana cara penawar racun ini mencuri data pengguna? Mengutip laporan Cyble via Dark Reading, malware ini menggunakan dua metode, yaitu serangan overlay dan keylogging.
Apa itu? Serangan overlay menciptakan layar palsu yang mirip dengan laman aplikasi Google Play asli dan mengelabui pengguna agar memasukkan kredensial mereka. Sementara keylogging secara diam-diam mencatat setiap penekanan tombol yang dilakukan korban pada keyboard, sehingga malware dapat mencuri data, termasuk sandi dan yang lain.
“Yang parahnya, malware Antidot ini bisa beroperasi karena korbannya memberikan akses “Aksesibilitas” tanpa “Dia menyadarinya,” kata Rupali Parate, peneliti di Cyble. Dengan akses ini, penjahat bisa menyalahgunakannya. Fungsi akses “Aksesibilitas” untuk terhubung ke server peretas dan menerima perintah dari luar.
Baca juga: Harga Smartphone Flagship Android 2025 Bakal Lebih Mahal
Pelaku Berpotensi Kendalikan Perangkat Korban
Aplikasi Android Berbahaya. (Sumber: Gadget Techno)
Server jahat kemudian akan meminta daftar aplikasi yang diinstal pada ponsel Anda. Mengerikan sekali, bukan? Masalahnya malware ini nantinya bisa fokus mencuri data dari aplikasi tertentu!
Setelah mengidentifikasi target, server mengirimkan URL overlay (halaman trik (pulau HTML) yang ditampilkan kepada korban setiap kali mereka membuka aplikasi asli.
Saat korban memasukkan kredensial mereka di halaman palsu, modul keylogger mengirimkan data ke server C2. Hal ini memungkinkan malware mencuri informasi dari korbannya.
Pate menjelaskan: “Perbedaannya dengan Antidot adalah ia menggunakan WebSocket untuk menjaga komunikasi dengan server [C2].” “Hal ini memungkinkan interaksi dua arah secara real-time untuk menjalankan perintah, memberikan penyerang kontrol penuh atas perangkat yang terinfeksi.”
Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan informasi, pesan SMS, memulai permintaan Data Layanan Tambahan Tidak Terstruktur (USSD), dan mengontrol fitur perangkat dari jarak jauh seperti kamera dan kunci layar.
Sumber & Foto: Dari berbagai sumber
