Seseorang telah berhasil membanjiri toko aplikasi pihak ketiga dan Google Play Store dengan lebih dari seribu aplikasi berbahaya, yang dapat memantau hampir semua hal yang dilakukan pengguna pada perangkat seluler mereka dari diam-diam menyadap panggilan untuk melakukan panggilan keluar tanpa interaksi dengan penggunanya.
Dijuluki SonicSpy, spyware ini telah menyebar secara agresif di toko aplikasi Android sejak setidaknya bulan Februari dan didistribusikan dengan berpura-pura menjadi aplikasi perpesanan – dan ini sebenarnya menawarkan layanan pesan.
SonicSpy Dapat Melakukan Banyak Tugas Berbahaya
Pada saat bersamaan, aplikasi spyware SonicSpy melakukan berbagai tugas berbahaya, termasuk merekam dan menerima panggilan diam-diam dari mikrofon, membajak kamera perangkat dan memotret, membuat panggilan keluar tanpa izin pengguna, dan mengirim pesan teks ke nomor yang dipilih oleh penyerang.
Selain itu, spyware SonicSpy juga mencuri informasi pengguna termasuk log panggilan, kontak dan informasi tentang titik akses Wi-Fi yang telah terhubung dengan perangkat yang terinfeksi, yang dapat dengan mudah digunakan untuk melacak lokasi pengguna.
Spyware ini ditemukan oleh para peneliti keamanan di perusahaan keamanan yang bergerak dalam bidang mobile security, Lookout. Para periset juga menemukan tiga versi aplikasi pesan yang mengandung SonicSpy di Google Play Store, yang telah diunduh ribuan kali.
Meskipun aplikasi yang dimaksud – Soniac, Hulk Messenger dan Troy Chat – telah dihapus oleh Google dari Play Store, mereka masih banyak tersedia di toko aplikasi pihak ketiga bersama dengan aplikasi lainnya yang mengadung SonicSpy.
Koneksi Dari Irak Terhubung Dengan Spyware SonicSpy
Para periset percaya bahwa malware tersebut terkait dengan pengembang yang berbasis di Irak dan mengatakan bahwa keseluruhan keluarga malware SonicSpy mendukung 73 intruksi remote berbeda yang dapat dilakukan penyerangnya pada perangkat Android yang terinfeksi.
Hubungan Irak dengan spyware ini berasal dari kesamaan antara SonicSpy dan SpyNote, malware Android lainnya yang ditemukan pada bulan Juli 2016, yang menyamar sebagai aplikasi Netflix dan diyakini telah ditulis oleh seorang hacker Irak.
“Ada banyak indikator yang menunjukkan bahwa aktor yang sama ada di balik pengembangan keduanya. Misalnya, kedua keluarga berbagi kesamaan kode, secara teratur menggunakan layanan DNS dinamis, dan berjalan di port 2222 yang tidak standar,” kata pemimpin Lookout Security Research Services Technology, Michael Flossman.
Selain itu, indikator penting adalah nama akun pengembang di belakang Soniac, yang tercantum di Google Play Store, adalah “iraqiwebservice“.
Inilah Cara Kerja SonicSpy
Salah satu aplikasi pesan yang mengandung SonicSpy berhasil melewati Google Play Store dan menyamar sebagai alat komunikasi bernama Soniac.
Setelah terinstal, Soniac menghapus ikon peluncurnya dari menu smartphone untuk menyembunyikan dirinya dari korban dan terhubung ke server command-and-control (C&C) untuk menginstal versi modifikasi dari aplikasi Telegram.
Namun, aplikasi tersebut benar-benar mencakup banyak fitur berbahaya yang memungkinkan penyerang mendapatkan kontrol penuh dari perangkat yang terinfeksi dan mengubahnya menjadi alat mata-mata di saku pengguna yang dapat merekam audio, melakukan panggilan, mengambil foto, mengambil data pribadi, termasuk log panggilan, kontak dan rincian tentang jalur akses Wi-Fi secara diam-diam.
Sebelum dihapus oleh Google, aplikasi tersebut telah diunduh sebanyak 1.000-5.000 kali, namun karena ini adalah bagian dari keluarga dengan 1.000 varian, malware tersebut dapat menginfeksi ribuan perangkat lainnya.
SonicSpy Bisa Masuk Ke Play Store Lagi
Meskipun aplikasi yang mengandung SonicSpy sekarang telah dihapus dari Play Store, para periset memperingatkan bahwa malware tersebut berpotensi masuk ke Play Store lagi dengan akun pengembang dan antarmuka aplikasi yang berbeda.
“Para aktor di balik keluarga malware ini telah menunjukkan bahwa mereka mampu memasukkan spyware mereka ke toko aplikasi resmi dan karena ini sedang dikembangkan secara aktif, dan proses pembuatannya otomatis, kemungkinan SonicSpy akan muncul lagi di masa mendatang,” para peneliti memperingatkan.
Meskipun Google telah melakukan banyak tindakan pengamanan untuk mencegah aplikasi berbahaya yang dilakukan melalui pemeriksaan keamanan Google, aplikasi berbahaya masih berhasil masuk ke Play Store.
Baru bulan lalu, kami memperingatkan tentang malware cerdas bernama Xavier, yang ditemukan di lebih dari 800 aplikasi Android berbeda yang telah diunduh jutaan kali dari Google Play Store dan mengumpulkan data sensitif pengguna serta dapat melakukan tugas berbahaya.
Bagaimana Melindungi Diri Dari Serangan Malware
Cara termudah untuk mencegah diri dari sasaran malware pintar semacam itu, selalu waspadalah terhadap aplikasi yang mencurigakan, bahkan saat mengunduhnya dari Google Play Store dan mencoba tetap pada vendor tepercaya saja.
Selain itu, selalu lihat ulasan yang ditinggalkan oleh pengguna yang telah mengunduh aplikasi dan memverifikasi izin aplikasi sebelum memasang aplikasi apa pun bahkan dari toko aplikasi resmi serta memberikan izin yang relevan untuk tujuan aplikasi.
Juga, jangan mendownload aplikasi dari sumber pihak ketiga. Meskipun dalam kasus ini, aplikasi didistribusikan melalui Play Store resmi, korban paling sering terinfeksi malware semacam itu melalui toko aplikasi pihak ketiga yang tidak tepercaya.
Terakhir, sangat disarankan untuk selalu menyimpan perangkat lunak antivirus yang baik di perangkat yang dapat mendeteksi dan memblokir malware tersebut sebelum menginfeksi perangkat, dan pastikan perangkat serta aplikasi yang digunakan tetap up-to-date.
