Peneliti keamanan dari SfyLabs kini telah menemukan trojan perbankan Android baru yang disewakan di situs underground seharga $500 per bulan, kata peneliti SfyLabs, Han Sahin.
Dijuluki Red Alert 2.0, malware perbankan Android ini sepenuhnya dibuat dari nol, tidak seperti trojan perbankan lainnya yang berevolusi dari kode sumber trojan pendahulunya.
Malware perbankan Red Alert telah didistribusikan di forum-forum hacking online sejak beberapa bulan terakhir, dan pembuatnya terus memperbarui malware untuk menambahkan fungsi baru dalam upaya untuk menjadikannya ancaman berbahaya bagi calon korban.
Malware Memblokir Panggilan Masuk dari Bank
Seperti kebanyakan trojan perbankan Android lainnya, Red Alert memiliki sejumlah besar kemampuan seperti mencuri kredensial login, membajak pesan SMS, menampilkan overlay di bagian atas aplikasi yang sah, mengakses daftar kontak, dll.
Selain itu, pembuat Red Alert juga menambahkan fungsionalitas yang menarik ke malwarenya, seperti memblokir dan mencatat semua panggilan masuk yang terkait dengan bank dan asosiasi keuangan.
Hal ini berpotensi memungkinkan malware mencegah peringatan akun yang dikompromikan diterima oleh korban dari bank terkait.
Malware Menggunakan Twitter Sebagai Infrastruktur C&C Cadangan
Hal lain yang paling menarik tentang Red Alert 2.0 adalah malware menggunakan Twitter untuk mencegah kehilangan bot saat server command-and-control nya down.
“Ketika bot gagal terhubung ke hardcode C2, itu akan mengambil C2 baru dari akun Twitter,” kata periset SfyLabs dalam sebuah posting blog.
“Ini adalah sesuatu yang telah kita lihat di dunia malware perbankan desktop sebelumnya, tapi ini untuk pertama kalinya kita melihat terjadi di trojan perbankan Android.”
Red Alert 2.0 saat ini menargetkan korban lebih dari 60 bank dan aplikasi media sosial di seluruh dunia dan bekerja di Android 6.0 (Marshmallow) dan versi dibawahnya.
Inilah Cara Trojan Red Alert 2.0 Bekerja:
Setelah dipasang di telepon korban melalui toko aplikasi pihak ketiga, malware menunggu korban membuka aplikasi perbankan atau media sosial, yang antarmukanya dapat disimulasikan, dan setelah terdeteksi, trojan langsung melapisi aplikasi asli dengan antarmuka pengguna palsu.
Antarmuka palsu kemudian menginformasikan korban bahwa ada kesalahan saat memasukkan pengguna dan meminta pengguna untuk mengautentikasi akunnya kembali.
Begitu pengguna memasukkan kredensial ke dalam antarmuka pengguna palsu, malware tersebut mencatatnya dan mengirimkannya ke server command-and-control (C&C) yang dikendalikan penyerang, yang mana akan digunakan oleh penyerang untuk membajak akun tersebut.
