Para Cyber Crime menjadi lebih mahir, inovatif, dan tersembunyi setiap harinya. Mereka sekarang beralih dari teknik tradisional ke teknik klandestin yang hadir dengan vektor serangan tanpa batas dan lebih sulit untuk dideteksi. Baru-baru ini ditemukan trojan perbankan baru bernama Svpeng yang telah dimodifikasi.
Peneliti keamanan telah menemukan bahwa salah satu jenis Trojan perbankan Android berbahaya yang telah dimodifikasi dengan menambahkan keylogger, memberi alternatif bagi attacker untuk mencuri data sensitif korban.
Analis malware senior Kaspersky Lab, Roman Unuchek, menemukan varian baru Trojan perbankan Android yang terkenal. Malware ini dijuluki Svpeng, ditemukan pada pertengahan bulan lalu dengan fitur keylogger, yang memanfaatkan layanan aksesibilitas Android.
Trojan Mengeksploitasi Layanan Aksesibilitas Untuk Menambahkan Keylogger
Ya, keylogger yang ditambahkan dalam versi baru Svpeng memanfaatkan layanan aksesibilitas – fitur Android yang memberikan cara alternatif untuk berinteraksi dengan perangkat smartphone mereka.
Perubahan ini membuat Trojan Svpeng tidak hanya bisa mencuri teks yang dimasukkan dari aplikasi lain yang terpasang pada perangkat dan mencatat semua penekanan tombol, namun juga memberi lebih banyak izin dan hak untuk mencegah korban menguninstall Trojan.
Pada bulan November tahun lalu, trojan Svpeng menginfeksi lebih dari 318.000 perangkat Android di seluruh dunia. Serangan ini terjadi selama rentang waktu hanya dua bulan dengan bantuan iklan Google AdSense yang disalahgunakan untuk menyebarkan trojan perbankan.
Lebih dari sebulan yang lalu, para periset juga menemukan serangan lain yang memanfaatkan layanan aksesibilitas Android, yang disebut serangan Cloak and Dagger, yang memungkinkan peretas diam-diam mengendalikan sepenuhnya perangkat yang terinfeksi dan mencuri data pribadi.
Penduduk Rusia Aman Dari Serangan Trojan Svpeng
Meskipun varian baru dari malware Svpeng belum banyak digunakan, malware tersebut telah menyerang pengguna di 23 negara selama seminggu, termasuk Rusia, Jerman, Turki, Polandia, dan Prancis.
Tapi yang perlu diperhatikan adalah, walaupun sebagian besar pengguna terinfeksi berasal dari Rusia, varian baru dari Trojan Svpeng tidak melakukan tindakan jahat terhadap perangkat dari Rusia.
Menurut Unuchek, setelah menginfeksi perangkat, Trojan pertama memeriksa bahasa perangkat. Jika bahasanya bahasa Rusia, malware mencegah tugas berbahaya lebih lanjut. Ini menunjukkan bahwa kelompok kriminal di balik malware ini adalah orang Rusia, yang menghindari pelanggaran hukum Rusia dengan cara meretas penduduk setempat.
Bagaimana Trojan Svpeng Dapat Mencuri Uang?
Unuchek mengatakan versi terbaru dari Trojan ini yang dia lihat pada bulan Juli didistribusikan melalui situs-situs berbahaya yang menyamar sebagai Flash Player palsu.
Setelah terinstal, seperti yang telah saya sebutkan di atas, malware pertama-tama memeriksa bahasa perangkat dan, jika bahasa itu bukan bahasa Rusia, malware akan meminta perangkat untuk menggunakan layanan aksesibilitas, yang akan membuka perangkat yang terinfeksi ke sejumlah serangan berbahaya.
Dengan akses ke layanan aksesibilitas, Trojan memberikan hak administrator perangkat sendiri, menampilkan overlay di bagian atas aplikasi yang sah, memasang dirinya sebagai aplikasi SMS default, dan memberikan beberapa izin dinamis, seperti kemampuan untuk melakukan panggilan, mengirim dan menerima SMS, dan membaca kontak.
Selain itu, dengan menggunakan kemampuan administratif yang baru didapat, Trojan dapat memblokir setiap usaha korban untuk menghapus hak administrator perangkat – sehingga mencegah penghapusan instalasi malware.
Dengan menggunakan layanan aksesibilitas, Trojan ini memperoleh akses ke aplikasi lain yang ada pada perangkat. Tentu saja ini memungkinkan Trojan mencuri teks yang dimasukkan ke aplikasi lain dan mengambil tangkapan layar setiap kali korban menekan tombol pada keyboard, dan data lain yang tersedia.
“Beberapa aplikasi, terutama yang bersifat perbankan, tidak membiarkan tangkapan layar diambil saat mereka berada di atas. Dalam kasus tersebut, Trojan memiliki opsi lain untuk mencuri data – ia menarik jendela phishing-nya di atas aplikasi yang diserang,” kata Unuchek.
“Sangat menarik bahwa, untuk mengetahui aplikasi mana yang ada di atas, itu juga menggunakan layanan aksesibilitas.”
Semua informasi yang dicuri kemudian diunggah ke server commad-and-control (C&C) penyerang. Sebagai bagian dari penelitiannya, Unuchek mengatakan bahwa dia berhasil mencegat file konfigurasi terenkripsi dari server C&C.
Dengan menguraikan file tersebut membantunya menemukan beberapa situs web dan aplikasi yang ditargetkan oleh Trojan ini. Serta membantunya mendapatkan URL dengan halaman phishing untuk aplikasi mobile PayPal dan eBay, bersama dengan tautan untuk aplikasi perbankan dari Inggris, Jerman, Turki, Australia, Prancis, Polandia, dan Singapura.
Selain URL, file tersebut juga memungkinkan malware untuk menerima berbagai perintah dari server C&C, termasuk mengirim SMS, mengumpulkan informasi seperti kontak, aplikasi terinstal dan log panggilan, membuka tautan berbahaya, mengumpulkan semua SMS dari perangkat, dan mencuri SMS masuk.
Lukas Stefanko, peneliti malware di ESET, telah berbagi video (yang dilampirkan di bawah) dengan Error 404 Cyber News, yang menunjukkan kerja dari malware ini:
https://youtu.be/WMmlqivnE5Y
Evolusi Trojan Svpeng
Periset di Kaspersky Lab awalnya menemukan trojan Svpeng kembali pada tahun 2013, dengan kemampuan utama Phishing.
Kembali di tahun 2014, malware kemudian dimodifikasi untuk menambahkan komponen ransomware yang mengunci perangkat korban (oleh FBI karena mereka mengunjungi situs yang berisi pornografi) dan meminta $500 dari pengguna.
Malware tersebut termasuk yang pertama kali mulai menyerang SMS banking, menggunakan halaman web phishing untuk melapisi aplikasi lain dalam upaya mencuri kredensial perbankan dan untuk memblokir perangkat dan meminta uang.
Pada tahun 2016, cyber crime secara aktif mendistribusikan Trojan ini melalui Google AdSense menggunakan kerentanan di browser web Chrome, dan sekarang menyalahgunakan layanan aksesibilitas, yang mungkin menjadikannya Trojan perbankan paling berbahaya sampai sekarang yang dapat mencuri hampir semua hal – dari kredensial Facebook kita, sampai Ke kartu kredit dan rekening bank kita.
Bagaimana Cara Kita Melindungi Smartphone Kita Dari Hacker?
Dengan hanya mendapatkan layanan aksesibilitas, trojan perbankan ini mendapatkan semua izin dan hak yang diperlukan untuk mencuri banyak data dari perangkat yang terinfeksi.
Teknik berbahaya dari Trojan ini bahkan bekerja pada perangkat Android yang diperbarui sepenuhnya dengan versi Android terbaru dan semua pembaruan keamanan terpasang, sehingga pengguna dapat menggunakannya untuk melindungi diri mereka sendiri.
Ada tindakan perlindungan standar yang perlu diikuti agar tidak terinfeksi:
- Selalu berpegang pada sumber terpercaya, seperti Google Play Store dan Apple App Store, namun hanya dari pengembang tepercaya dan terverifikasi.
- Yang terpenting, verifikasi izin aplikasi sebelum menginstal aplikasi. Jika ada aplikasi yang meminta lebih dari apa yang dimaksudkannya, jangan menginstalnya.
- Jangan mendownload aplikasi dari sumber pihak ketiga, karena malware yang paling sering menyebar ialah melalui pihak ketiga yang tidak tepercaya.
- Hindari hotspot Wi-Fi yang tidak diketahui dan tidak aman serta jaga agar Wi-Fi Anda tidak aktif saat tidak digunakan.
- Jangan pernah mengklik link yang disediakan dalam SMS, MMS atau email. Sekalipun email itu terlihat meyakinkan dan aman, langsung masuk ke situs asal dan verifikasi sumbernya.
- Instal aplikasi antivirus yang bagus yang dapat mendeteksi dan memblokir malware tersebut sebelum dapat menginfeksi perangkat, dan selalu update aplikasi yang terpasang.
