Peneliti keamanan telah menemukan dan menganalisis jenis baru malware Android yang hadir dengan beragam fitur, yang memungkinkannya mencuri rincian akun dari 226 aplikasi. Malware ini dijuluki Alien, sudah aktif sejak awal tahun dan telah ditawarkan sebagai penawaran Malware-as-a-Service (MaaS) di forum underground.
Dalam sebuah laporan yang diterbitkan, peneliti keamanan dari ThreatFabric menggali lebih dalam postingan thread forum dan sampel malware Alien untuk memahami evolusi, trik, dan fiturnya.
Menurut peneliti, Alien bukanlah benar-benar potongan kode baru tetapi sebenarnya didasarkan pada kode dari keluarga malware lain bernama Cerberus.
Cerberus, sementara merupakan MaaS yang aktif tahun lalu dan gagal tahun ini, dengan pemiliknya mencoba menjual basis kode dan basis kustomnya, sebelum akhirnya membocorkannya secara gratis.
ThreatFabric mengatakan Cerberus mati karena tim keamanan Google menemukan cara untuk mendeteksi dan membersihkan perangkat yang terinfeksi. Tetapi bahkan jika malware Alien didasarkan pada versi Cerberus yang lawas, Alien tampaknya tidak memiliki masalah ini, dan MaaS-nya masuk untuk mengisi kekosongan yang ditinggalkan karena kematian Cerberus.
Dan para peneliti mengatakan bahwa Alien bahkan lebih canggih daripada Cerberus, trojan yang memiliki reputasi dan berbahaya.
ThreatFabric mengatakan Alien adalah bagian dari generasi baru trojan perbankan Android yang juga telah mengintegrasikan fitur akses jarak jauh ke dalam basis kode mereka.
Ini membuat Alien menjadi varian yang berbahaya. Alien tidak hanya dapat menampilkan layar login palsu dan mengumpulkan kata sandi untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses ke perangkat untuk menggunakan akun korban atau bahkan melakukan tindakan lain.
Menurut ThreatFabric, saat ini Alien memiliki kemampuan berikut:
- Dapat menampilkan konten overlay di atas aplikasi lain (fitur yang digunakan untuk phishing rincian akun login)
- Log keyboard
- Akses jarak jauh ke perangkat setelah menginstal instance TeamViewer
- Memanen, mengirim, atau meneruskan pesan SMS
- Mencuri daftar kontak
- Mengumpulkan detail perangkat dan daftar aplikasi
- Mengumpulkan data geo-lokasi
- Membuat permintaan USSD
- Mengalihkan panggilan
- Menginstal dan memulai aplikasi lain
- Meluncurkan browser di halaman yang diinginkan
- Mengunci layar untuk fitur yang mirip ransomware
- Melihat pemberitahuan yang ditampilkan di perangkat
- Mencuri kode 2FA yang dibuat oleh aplikasi pengotentikasi
Itu adalah serangkaian fitur yang cukup mengesankan. ThreatFabric mengatakan ini sebagian besar digunakan untuk operasi terkait penipuan, karena sebagian besar trojan Android saat ini cenderung menargetkan akun online dan mencari uang.
Selama analisisnya, para peneliti mengatakan mereka menemukan bahwa Alien memiliki dukungan untuk menampilkan halaman login palsu 226 aplikasi Android.
Sebagian besar halaman login palsu ini ditujukan untuk mencegat rincian akun login untuk aplikasi e-banking, dengan jelas mendukung penilaiannya bahwa Alien dimaksudkan untuk penipuan.
Namun, Alien juga menargetkan aplikasi lain, seperti email, sosial, perpesanan instan, dan aplikasi cryptocurrency (diantaranya, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, dll.).
ThreatFabric tidak menyertakan detail tentang bagaimana Alien bisa masuk ke perangkat pengguna, terutama karena ini bervariasi berdasarkan bagaimana pelanggan MaaS Alien (kelompok kriminal lain) memilih untuk mendistribusikannya.
“Banyak yang tampaknya didistribusikan melalui situs phishing, misalnya halaman berbahaya yang menipu korban agar mengunduh pembaruan perangkat lunak palsu atau aplikasi COVID-19 palsu (masih merupakan trik umum saat ini),” kata Gaetan van Diemen, analis malware di ThreatFabric.
“Metode lain yang diamati untuk digunakan adalah SMS, begitu mereka menginfeksi perangkat, mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan lebih lanjut distribusi malware mereka,” tambahnya.
Beberapa aplikasi berbahaya muncul di Play Store sesekali, tetapi sebagian besar waktu, mereka didistribusikan melalui saluran lain, kata van Diemen.
Semua aplikasi berisi malware Alien ini dapat dengan mudah dilihat karena sering kali mengharuskan pengguna untuk memberi mereka akses ke pengguna admin atau ke layanan Aksesibilitas.
Baca Juga: “Grup Peretas Asal Iran Kembangkan Malware Android Untuk Mencuri Kode 2FA“
Mungkin kamu pernah mendengar saran “jangan memasang aplikasi dari situs aplikasi pihak ketiga dan memberi mereka hak admin”, namun tidak semua pengguna Android bisa memahaminya, dan masih banyak pengguna mengunduh dan memasang aplikasi dari lokasi mana pun, lalu asal klik saja semua petunjuk yang muncul selama instalasi.
Beginilah cara malware beroperasi secara umum, menargetkan pengguna non-teknis, dan bukan orang yang memiliki cukup pengetahuan, dan masih ada banyak pengguna non-teknis ini. Oleh karena itu mengapa malware Android menjadi bisnis besar akhir-akhir ini di forum underground.
