Google telah menghapus 17 aplikasi Android pada minggu ini dari Play Store. 17 aplikasi tersebut berisi malware Joker (dikenal juga sebagai Bread) dan ditemukan oleh peneliti keamanan dari Zscaler.
Dalam posting blog yang diterbitkan, perusahaan keamanan Zscaler menjelaskan bahwa mereka menemukan dan mengidentifikasi 17 aplikasi dan memberi tahu pihak Google, yang kemudian menghapus aplikasi-aplikasi tersebut.
Secara total, ada sekitar 120.000 unduhan untuk aplikasi yang teridentifikasi sebelum Google menghapusnya, jumlah yang cukup besar namun relatif kecil dibandingkan dengan insiden serupa sebelumnya.
Berikut daftar dari 17 aplikasi tersebut:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
- All Good PDF Scanner
Zscaler mendeskripsikan Joker sebagai spyware yang bertujuan untuk menyadap dan mencuri pesan SMS, daftar kontak, dan informasi perangkat, yang juga secara diam-diam mendaftarkan korban ke dalam layanan premium wireless application protocol (WAP). Joker telah menjadi masalah cukup berat bagi Google, karena aktor di baliknya terus memodifikasi kode, proses eksekusi, dan taktik untuk mendistribusikannya.
Dalam varian Joker sebelumnya, payload dikirim melalui URL langsung yang diterima dari server command-and-control (C2) penyerang. Di kasus terbaru ini, aplikasi berbahaya berisi alamat C2 yang disembunyikan dalam kodenya sendiri sebagai cara untuk menyembunyikannya.
Beberapa aplikasi berbahaya berisi muatan stager, yang mengambil dan mengunduh URL payload dari kode dan kemudian mengeksekusinya di perangkat yang terinfeksi. Dalam kasus terbaru, aplikasi berbahaya memasukkan URL payload stager langsung ke dalam kode mereka menggunakan enkripsi atau metode lain untuk menyamarkannya. Payload tahap terakhir kemudian mengeksekusi malware Joker.
Dalam kasus terbaru ini, aplikasi berbahaya menggunakan pendekatan berlapis-lapis dengan mengunduh payload tahap satu, lalu mengunduh payload tahap dua, yang pada akhirnya memuat payload Joker. Dalam kasus ini, aplikasi menghubungi server C2 untuk URL payload tahap satu, yang disembunyikan di response header. Pendekatan ini juga berfungsi untuk mengaburkan sifat asli dan URL tertentu dari aplikasi berbahaya.
Meskipun Google sudah menghapus aplikasi-aplikasi berbahaya tersebut, Google terus menghadapi tantangan dari malware Joker karena terus berkembang untuk bisa melewati keamanan Google Play Protect yang dibangun di dalam toko aplikasi. Karena itu, pemilik Android harus mengambil tindakan pencegahan sendiri untuk melindungi diri dari malware.
“Kami merekomendasikan untuk memperhatikan daftar izin di aplikasi yang diinstal di perangkat Android Anda,” kata Zscaler dalam posting blognya. “Selalu berhati-hati dengan izin berisiko terkait SMS, log panggilan, kontak, dan lainnya. Membaca komentar atau ulasan di halaman aplikasi juga bisa membantu mengidentifikasi.”
