Malware Android-rooting baru dengan kemampuan untuk menonaktifkan setelan keamanan perangkat dalam upaya untuk melakukan tugas berbahaya di latar belakang kali ini ditemukan dalam Play Store.
Menariknya, aplikasi ini cukup pintar untuk mengelabui mekanisme keamanan Google dengan terlebih dahulu berpura-pura menjadi aplikasi bersih dan kemudian berubah wujud menjadi versi berbahaya.
Periset keamanan di Kaspersky Lab menemukan malware Android-rooting baru yang didistribusikan sebagai aplikasi game di Google Play Store, bersembunyi di balik permainan puzzle “colourblock,” yang telah diunduh setidaknya 50.000 kali sebelum penghapusannya.
Dijuluki Dvmap, malware Android-rooting ini menonaktifkan pengaturan keamanan perangkat untuk menginstal aplikasi berbahaya lainnya dari sumber pihak ketiga dan juga menginjeksi kode berbahaya ke library runtime sistem perangkat untuk memperoleh akses root dan persistensi.
“Untuk melewati pemeriksaan keamanan Google Play Store, pencipta malware menggunakan metode yang sangat menarik: mereka mengunggah aplikasi bersih ke toko pada akhir Maret 2017, dan kemudian memperbaruinya dengan versi jahat untuk jangka waktu yang singkat,” Kata periset tersebut.
“Biasanya mereka akan mengunggah versi bersih kembali ke Google Play pada hari yang sama. Mereka melakukan ini setidaknya 5 kali antara 18 April dan 15 Mei.“
Inilah Cara Malware Dvmap Bekerja
Trojan Dvmap bekerja pada versi Android 32-bit dan 64-bit, setelah terpasang, ia mencoba mendapatkan akses root pada perangkat dan mencoba menginstal beberapa modul pada sistem termasuk beberapa yang ditulis dalam bahasa Cina, bersama dengan aplikasi jahat yang disebut “com.qualcmm.timeservices.”
Untuk memastikan modul berbahaya dijalankan dengan hak sistem, malware akan menimpa runtime library sistem tergantung pada versi Android perangkat yang sedang dijalankan.
Untuk menyelesaikan pemasangan aplikasi jahat yang disebutkan di atas, Trojan dengan hak sistem menonaktifkan “Verifikasi App,” dan modifikasi pengaturan sistem untuk mengizinkan pemasangan aplikasi dari toko aplikasi pihak ke-3.
“Selain itu, ini bisa memberi hak Administrator Perangkat kepada ‘com.qualcmm.timeservices’ tanpa interaksi dengan pengguna, hanya dengan menjalankan perintah. Ini adalah cara yang sangat tidak biasa untuk mendapatkan hak Administrator Perangkat,” kata periset tersebut.
Aplikasi pihak ketiga yang berbahaya ini bertanggung jawab untuk menghubungkan perangkat yang terinfeksi ke server command-and-control penyerang, memberikan kontrol penuh atas perangkat ke tangan penyerang.
Namun, kata periset, mereka belum melihat perintah yang diterima oleh perangkat Android yang terinfeksi sejauh ini, jadi tidak jelas lagi “jenis file apa yang akan dijalankan, tapi bisa jadi file berbahaya atau iklan.“
Melindungi Diri Dari Malware Dvmap
Periset masih menguji malware Dvmap, namun demikian, memberi tahu pengguna yang memasang game puzzle yang bersangkutan untuk mencadangkan data perangkat mereka dan melakukan reset data pabrik secara keseluruhan dalam upaya untuk mengurangi malware.
Untuk mencegah agar tidak ditargetkan oleh aplikasi semacam itu, waspadalah terhadap aplikasi yang mencurigakan, bahkan saat mengunduh dari Google Play Store, dan tetap bertahan pada merek tepercaya saja. Juga selalu lihat komentar yang ditinggalkan oleh pengguna lain.
Selalu verifikasi izin aplikasi sebelum memasang aplikasi apa pun dan berikan hanya izin yang memiliki konteks relevan untuk tujuan aplikasi.
Saran terakhir, selalu simpan aplikasi antivirus bagus di perangkat yang dapat mendeteksi dan memblokir malware semacam itu sebelum dapat menginfeksi perangkat dan tetap up-to-date.
