Trojan mobile banking terkenal yang baru saja menambahkan fitur ransomware untuk mencuri data sensitif dan mengunci file pengguna pada saat yang sama, kini telah dimodifikasi untuk mencuri kredensial dari Uber dan aplikasi pemesanan lainnya juga.
Periset keamanan di Kaspersky Labs telah menemukan varian baru dari trojan perbankan Android yang disebut Faketoken yang sekarang memiliki kemampuan untuk mendeteksi dan merekam panggilan perangkat yang terinfeksi juga menampilkan overlay di atas aplikasi pemesanan taksi untuk mencuri informasi perbankan.
Dijuluki Faketoken.q, varian baru trojan mobile banking ini didistribusikan menggunakan pesan SMS masal sebagai vektor serangan mereka, mendorong pengguna untuk mendownload file gambar yang benar-benar mendownload malware.
Malware Memata-Matai Percakapan Lewat Telepon
Setelah diunduh, malware menginstal modul yang diperlukan dan payload utama, yang menyembunyikan ikon pintasannya dan mulai memantau semua yang terjadi pada perangkat Android yang terinfeksi.
Saat panggilan dibuat atau diterima dari nomor telepon tertentu di perangkat korban, malware mulai merekam percakapan tersebut dan mengirim rekaman ke server penyerang.
Selain itu, Faketoken.q juga memeriksa aplikasi mana yang digunakan oleh pemilik smartphone dan saat mendeteksi peluncuran aplikasi yang antarmukanya dapat disimulasikan, trojan ini langsung melapisi aplikasi dengan antarmuka pengguna palsu.
Malware Mengeksploitasi Fitur Overlay Untuk Mencuri Rincian Kartu Kredit
Untuk mencapai hal ini, trojan menggunakan fitur Android standar yang sama dengan yang digunakan oleh sejumlah aplikasi sah, seperti Facebook Messenger, Window Manager, dan aplikasi lainnya, untuk menampilkan lapisan layar di atas semua aplikasi lainnya.
Antarmuka pengguna palsu meminta korban untuk memasukkan data kartu pembayarannya, termasuk kode verifikasi bank, yang nantinya dapat digunakan oleh penyerang untuk melakukan transaksi yang tidak benar.
Faketoken.q mampu melakukan overlay pada sejumlah besar aplikasi mobile banking serta aplikasi lain-lain, seperti:
- Android Pay
- Google Play Store
- Aplikasi untuk membayar tiket
- Aplikasi untuk pemesanan penerbangan dan kamar hotel
- Aplikasi untuk pemesanan taksi
Karena penipu memerlukan kode SMS yang dikirim oleh bank untuk mengotorisasi sebuah transaksi, malware tersebut mencuri kode dalam pesan SMS yang masuk dan meneruskannya ke server command-and-control (C&C) penyerang untuk serangan yang berhasil.
Menurut para peneliti, Faketoken.q telah dirancang untuk menargetkan pengguna berbahasa Rusia, karena menggunakan bahasa Rusia di antarmuka penggunanya.
