Tim peneliti dari beberapa perusahaan keamanan telah menemukan dua kampanye malware baru yang menargetkan pengguna Google Play Store, yang satu menyebarkan versi baru dari malware BankBot, salah satu keluarga trojan perbankan yang meniru aplikasi perbankan asli dalam upaya mencuri data login pengguna.
Malware BankBot telah dirancang untuk menampilkan overlay palsu pada aplikasi bank yang sah dari bank-bank besar di seluruh dunia, termasuk Citibank, WellsFargo, Chase, dan DiBa, untuk mencuri informasi sensitif, termasuk info login dan rincian kartu kredit.
Dengan tujuan utama menampilkan overlay palsu, BankBot memiliki kemampuan untuk melakukan berbagai tugas, seperti mengirim dan mencegat pesan SMS, melakukan panggilan, melacak perangkat yang terinfeksi, dan mencuri kontak.
Kampanye malware kedua yang ditemukan oleh para periset tidak hanya menyebarkan trojan BankBot yang sama dengan kampanye pertama, tapi juga Mazar dan Red Alert. Kampanye malware ini telah dijelaskan secara rinci di blog ESET.
Menurut sebuah analisis yang dilakukan oleh tim mobile threat intelligence di Avast yang bekerja sama dengan ESET dan SfyLabs, varian terbaru dari BankBot telah bersembunyi di aplikasi Android yang berpose sebagai aplikasi senter yang diyakini dapat dipercaya.
Pertama kali ditemukan oleh para periset pada tanggal 13 Oktober, aplikasi BankBot berbahaya menggunakan teknik khusus untuk menghindari pemeriksaan deteksi otomatis Google, seperti memulai aktivitas berbahaya 2 jam setelah pengguna memberikan hak admin perangkat ke aplikasi dan menerbitkan aplikasi dengan nama pengembang yang berbeda.
Setelah menipu korban untuk mendownloadnya, aplikasi berbahaya tersebut memeriksa aplikasi yang diinstal pada perangkat yang terinfeksi terhadap daftar 160 aplikasi mobile yang hard-coded.
Menurut para periset, daftar ini mencakup aplikasi dari Wells Fargo dan Chase di A.S., Credit Agricole di Prancis, Santander di Spanyol, Commerzbank di Jerman dan banyak lembaga keuangan lainnya dari seluruh dunia.
Jika menemukan satu atau lebih aplikasi pada perangkat yang terinfeksi, malware kemudian mendownload dan menginstal APK BankBot dari server command-and-control nya pada perangkat, dan mencoba mengelabui korban agar memberikan hak administrator dengan berpura-pura menjadi Play Store atau update sistem menggunakan ikon dan nama paket yang serupa.
Begitu mendapat hak istimewa admin, aplikasi BankBot menampilkan overlay di bagian atas aplikasi yang sah saat korban meluncurkan salah satu aplikasi dari daftar malware dan mencuri info perbankan apa pun.
Avast Threat Labs juga telah memberikan demonstrasi video saat menguji mekanisme ini dengan aplikasi dari Czech Airbank. Kamu dapat melihat bagaimana aplikasi membuat overlay dalam milidetik dan memberi trik kepada pengguna untuk memberikan rincian perbankan kepada penjahat.
Karena banyak bank menggunakan metode autentikasi dua faktor untuk transaksi aman, BankBot menyertakan fungsi yang memungkinkannya mencegat pesan teks, memungkinkan penjahat di belakang BankBot untuk mencuri nomor transaksi seluler (mTAN) yang dikirim ke telepon pelanggan dan mentransfer uang ke rekening mereka.
Google dikabarkan telah menghapus semua aplikasi BankBot yang baru ditemukan setelah diberitahu oleh para periset.
Meskipun ini adalah masalah yang tidak pernah berakhir, cara terbaik untuk melindungi diri sendiri yaitu selalu waspada saat mengunduh aplikasi bahkan dari Google Play Store.
Meskipun malware BankBot berhasil masuk ke Play Store, payload nya harus diunduh terlebih dahulu dari sumber eksternal. Jadi, jangan biarkan APK pihak ketiga yang tidak diketahui diinstal pada perangkat.
