Kombinasi baru dari dua jenis malware lawas, yang memberi peretas akses ke hampir semua yang dilakukan pengguna di smartphone Android, dijual di forum underground hanya dengan $29,99 – bahkan menyediakan kemampuan kepada penjahat siber tingkat rendah sekalipun untuk mencuri data pribadi yang sensitif.
Remote administration tool (RAT) ‘Rogue’ menginfeksi korban dengan keylogger, memungkinkan penyerang untuk dengan mudah memantau penggunaan situs web dan aplikasi untuk mencuri nama pengguna dan kata sandi, serta data keuangan. Rendahnya harga malware yang dijual dalam forum underground ini mencerminkan meningkatnya kecanggihan ekosistem kriminal yang memungkinkan penjahat newbie dengan keterampilan teknis terbatas mendapatkan alat untuk meluncurkan serangan.
Malware tersebut mempunyai potensi untuk spionase skala penuh pada perangkat dengan memantau lokasi GPS target, mengambil tangkapan layar, menggunakan kamera untuk mengambil gambar, diam-diam merekam audio dari panggilan dan masih banyak lagi. Itu semua dilakukan dengan tetap benar-benar tersembunyi dari korban – dan yang dibutuhkan penyerang hanyalah ponsel cerdas mereka sendiri untuk mengeluarkan perintah.
Rogue telah dirinci oleh para peneliti keamanan siber di Check Point, yang mengatakan itu bukan bentuk malware yang sepenuhnya baru, melainkan kombinasi dari dua varian RAT Android lawas – Cosmos dan Hawkshaw – dan menunjukkan evolusi pengembangan malware di darkweb.
Tidak ada cara spesifik bagaimana peretas bisa menginstal Rogue karena bagian dari cara kerjanya adalah mereka dapat memilih metode infeksi, baik dengan phishing, menyisipkannya ke dalam aplikasi atau yang lainnya.
Baca Juga: “‘Ghimob’, Malware Baru Yang Dapat Memata-Matai 153 Aplikasi Android“
Setelah diunduh ke smartphone, Rogue meminta izin yang diperlukan peretas untuk mengakses perangkat dari jarak jauh – meskipun unduhan tersebut jelas tidak menyebutkan bahwa inilah alasan mengapa mereka dibutuhkan. Jika izin tidak diberikan, itu akan berulang kali meminta pengguna untuk memberikannya sampai mereka melakukannya.
Setelah izin diperoleh, Rogue mendaftarkan dirinya sebagai administrator perangkat dan menyembunyikan ikonnya dari layar beranda. Jika pengguna mencoba untuk mencabut kredensial administrator ini, sebuah pesan menanyakan “Apakah Anda yakin untuk menghapus semua data?”, Sesuatu yang dapat membuat takut banyak orang untuk mencoba menghapus instalasi, takut mereka akan menghapus seluruh perangkat mereka.
Malware ini terbilang sangat berbahaya karena mengeksploitasi layanan Firebase Google untuk menyamar sebagai aplikasi yang sah pada perangkat dan membantunya tetap tertanam serta aktif.
Setelah berhasil disematkan pada perangkat, malware menginstal layanan pemberitahuannya sendiri, memungkinkan operator malware untuk memeriksa pemberitahuan dan pop-up apa yang diterima korban, dan bisa memberikan informasi data apa yang tersedia di perangkat.
Salah satu cara terbaik bagi pengguna untuk menghindari menjadi korban malware seluler adalah dengan menginstal pembaruan keamanan, hal yang dapat mencegah penjahat siber mengeksploitasi kerentanan yang diketahui untuk mendistribusikan malware. Selain itu, pengguna harus waspada terhadap aplikasi yang tampaknya meminta izin dalam jumlah berlebihan untuk dijalankan di perangkat dan idealnya hanya mendownload aplikasi dengan sumber asal tepercaya dari toko aplikasi resmi.
