Penjahat dunia maya saat ini sedang mengembangkan rangkaian malware baru yang menargetkan perangkat Android, yang memadukan fitur-fitur diantaranya trojan perbankan, keylogger, dan ransomware seluler. Bernama MysteryBot, strain malware MysteryBot ini masih dalam pengembangan, menurut para peneliti keamanan dari ThreatFabric.
MysteryBot memiliki koneksi ke LokiBot
ThreatFabric mengatakan malware MysteryBot tampaknya terkait dengan trojan perbankan Android LokiBot yang terkenal dan sangat populer.
“Berdasarkan analisis kami terhadap kode dari kedua malware tersebut, kami percaya bahwa memang ada hubungan antara pembuat dari LokiBot dan MysteryBot,” kata juru bicara ThreatFabric.
Selanjutnya, menurut laporan perusahaan yang diterbitkan kemarin, malware MysteryBot baru-baru ini mengirim data ke server command-and-control (C&C) yang sama seperti yang digunakan LokiBot, jelas menunjukkan mereka sedang dikendalikan dan dikembangkan oleh orang atau kelompok yang sama.
MysteryBot dapat beroperasi di Android 7 dan Android 8
ThreatFabric mengatakan MysteryBot adalah malware yang unik dalam banyak hal dibandingkan dengan LokiBot, tetapi juga dengan malware perbankan Android lainnya seperti ExoBot 2.5, Anubis II, DiseaseBot, atau CryEye.
Sebagai permulaan, MysteryBot tampaknya merupakan malware perbankan pertama yang dapat dipercaya menampilkan “layar overlay” pada Android 7 dan Android 8.
Malware perbankan menggunakan layar overlay ini untuk menampilkan halaman login palsu di atas aplikasi yang sah. Karena fitur keamanan yang ditambahkan oleh Google di Android 7 dan 8, tidak ada malware yang dapat menampilkan layar overlay pada versi OS ini secara konsisten.
Masalahnya adalah strain malware sebelumnya menunjukkan layar overlay pada waktu yang salah karena mereka tidak dapat mendeteksi ketika pengguna melihat aplikasi di layarnya dan akan salah menghitung waktu ketika harus menampilkan overlay, membuat kehadirannya dengan mendorong pengguna untuk login pada saat yang salah.
Modul perbankan MysteryBot menyalahgunakan izin Penggunaan Akses
Menurut ThreatFabric, tim MysteryBot tampaknya telah menemukan cara yang handal untuk mengatur waktu layar overlaynya agar bisa ditampilkan pada waktu yang tepat ketika pengguna membuka dan membawa aplikasi ke latar depan.
Mereka melakukan ini dengan menyalahgunakan izin Android PACKAGE_USAGE_STATS (atau biasa disebut izin Penggunaan Akses), fitur OS Android yang menunjukkan statistik penggunaan tentang aplikasi, dan secara tidak langsung membocorkan detail tentang aplikasi yang saat ini digunakan.
Versi saat ini, MysteryBot memiliki “layar overlay” buatan khusus untuk banyak e-banking mobile (dari Australia, Austria, Jerman, Spanyol, Perancis, Kroasia, Polandia, Rumania) dan aplikasi IM seperti Facebook, WhatsApp dan Viber (tercantum secara lengkap dalam laporan ThreatFabric).
Komponen keylogger yang sangat unik
Selain itu, malware juga dilengkapi dengan komponen keylogger, yang juga unik jika dibandingkan dengan keylogger lain yang ditemukan di pasar Android.
Para peneliti mengatakan bahwa alih-alih mengambil tangkapan layar pada saat pengguna menekan tombol pada keyboard berbasis sentuhan untuk menentukan apa yang diketik pengguna, MysteryBot mencatat lokasi dari gerakan sentuh sebagai gantinya.
Komponen keylogger baru ini kemudian mencoba menerka kunci apa yang ditekan oleh pengguna berdasarkan posisi layar sentuh pada keyboard virtual yang dibayangkan malware yang digunakan pengguna.
ThreatFabric mengatakan komponen ini belum berfungsi, karena versi saat ini tidak melakukan apa pun dengan data yang di-log, seperti mengirimnya ke server remote.
MysteryBot berisi modul ransomware yang rusak
Seperti LokiBot, MysteryBot juga berisi modul ransomware. ThreatFabric mengatakan modul ransomware ini memungkinkan penjahat untuk mengunci semua file pengguna yang tersimpan di perangkat penyimpanan eksternal.
Ransomware tidak mengenkripsi file tetapi mengunci masing-masing file dalam arsip ZIP yang dilindungi kata sandi individu.
Para peneliti mengatakan modul ransomware disusun dalam kode yang cukup buruk. Sebagai permulaan, kata sandi arsip ZIP hanya delapan karakter, yang berarti itu bisa sangat mudah untuk di brute-force.
Kedua, kata sandi ini dan ID perangkat terinfeksi yang dibuat khusus oleh pengguna dikirim ke panel kontrol remote bernama Myster_L0cker.
Masalahnya adalah bahwa ID yang diberikan kepada setiap korban dapat berupa angka antara 0 dan 9999 saja, dan tidak ada verifikasi ID yang sudah ada saat dikirim ke panel kontrol remote.
Kata sandi untuk korban yang lebih tua dapat dengan mudah ditimpa pada panel kontrol ketika korban baru dengan ID yang sama disinkronkan dengan backend MysteryBot.
Mystery Box menyamar sebagai Flash Player untuk Android
ThreatFabric mengatakan versi saat ini MysteryBot yang terlihat sampai sekarang telah disamarkan sebagai aplikasi Flash Player untuk Android.
“Secara umum, pengguna harus menyadari bahwa semua yang disebut ‘(pembaruan) aplikasi Flash Player’ yang dapat ditemukan di dalam dan di luar berbagai toko aplikasi adalah malware,” kata ThreatFabric.
“Banyak situs web masih memerlukan pengunjung untuk memiliki dukungan Flash (yang belum tersedia di Android selama bertahun-tahun) menyebabkan pengguna Android mencoba dan menemukan aplikasi yang akan membiarkan mereka menggunakan situs web itu, dan pada akhirnya mereka hanya akan memasang malware.”
Sementara MysteryBot saat ini belum beredar, ThreatFabric mengatakan bahwa LokiBot sebelumnya menyebar melalui SMS spam (smishing) dan email (phising) yang berisi tautan ke aplikasi Android.
Jangan berikan akses kepada aplikasi ke layanan Aksesibilitas
Para ahli menyarankan agar pengguna menghindari aplikasi side-loading (memasang) dari luar Play Store, dan menghindari pemberian akses aplikasi ke layanan Aksesibilitas, yang pada sebagian besar digunakan oleh malware.
Dalam bentuknya saat ini, MysteryBot masih membutuhkan akses ke layanan Aksesibilitas, yang digunakan untuk komponen keylogger dan ransomware-nya.
Malware juga menggunakan akses ke layanan Aksesibilitas untuk memberikan izin kepada dirinya sendiri untuk mengakses fitur PACKAGE_USAGE_STATS tanpa meminta pengguna. Ini berarti bahwa pengguna mungkin masih dapat melihat MysteryBot sebelum terinfeksi ketika mereka diminta untuk mengizinkan akses aplikasi ke layanan Aksesibilitas yang sangat istimewa.
Selanjutnya, pengguna juga harus memperhatikan apa yang mereka unduh dari Play Store juga.
“Masih banyak droppers di Google Play Store karena tampaknya menjadi distribusi yang efisien,” kata ThreatFabric. “Namun, sebagian besar Trojan perbankan Android tampaknya didistribusikan melalui smishing/phishing & side-loading.”
9 more apps with 130K+ installs based on Play Store pic.twitter.com/gikF612Z7R
— Lukas Stefanko (@LukasStefanko) June 13, 2018
