Taktik Baru Penipuan Bank di Android: Hati-hati dengan Trojan!
Peneliti keamanan baru-baru ini melacak empat kampanye trojan bank di Android yang mengandalkan penipuan, kecerdikan, dan penyembunyian ikon aplikasi untuk bersembunyi setelah diinstal. Para peneliti dari Zimperium mengungkapkan bahwa kampanye-kampanye ini, yang dinamai RecruitRat, SaferRat, Astrinox, dan Massiv, secara kolektif menargetkan lebih dari 800 aplikasi bank, cryptocurrency, dan media sosial.
Pangkalan jangkauan dari malware ini sangat luas. Banyak aplikasi yang umum digunakan memiliki miliaran unduhan, meskipun infeksi yang benar-benar terjadi mungkin hanya dalam hitungan jutaan.
Taktik Instalasi yang Semakin Rumit
Menariknya, para penyerang lebih mengandalkan trik psikologis untuk menipu pengguna, bukan hanya memanfaatkan kesalahan teknis. Korban diarahkan ke situs web palsu yang menyamar sebagai portal lowongan kerja, layanan streaming, atau unduhan perangkat lunak yang tampak sah di mata orang awam.
Beberapa kampanye bahkan meniru platform rekrutmen, mendorong korban untuk mengunduh aplikasi sebagai bagian dari proses perekrutan yang konon. Di sisi lain, ada tawaran akses gratis ke konten premium yang membuat pengguna mengunduh perangkat lunak berbahaya dari sumber yang tidak resmi.
Dari segi teknik instalasi, metode yang digunakan semakin rumit, dengan banyak serangan memanfaatkan metode pengiriman bertingkat yang menyembunyikan muatan malware di dalam file lain.
Salah satu taktik yang digunakan adalah meniru tampilan layar pembaruan resmi, termasuk tata letak yang menyerupai antarmuka Google Play, sehingga mengurangi kecurigaan saat proses instalasi.
Setelah aktif, malware sering meminta izin Aksesibilitas, yang memungkinkan mereka untuk memantau tindakan, membaca konten layar, dan memberikan izin tambahan tanpa sepengetahuan pengguna.
Salah satu fitur yang sangat menipu membuat beberapa varian malware bisa mengganti ikon aplikasinya dengan gambar kosong, sehingga aplikasi tersebut “menghilang” dari papan aplikasi perangkat. Hal ini bisa membingungkan pengguna saat mencoba mencarikan atau menghapus perangkat lunak tersebut.
Varian lainnya bahkan mengganggu usaha uninstall malware dengan mengalihkan pengguna jauh dari pengaturan sistem.
Curi Data dengan Overlay Layar Palsu
Overlay layar memainkan peran penting dalam pencurian data akun di semua kampanye ini. Layar kunci palsu dapat menangkap PIN dan pola, sedangkan halaman login bank yang disimulasikan mencuri kredensial saat pengguna berinteraksi dengan aplikasi yang sah.
Beberapa varian bahkan menampilkan pesan “perbarui” di layar penuh yang mencegah interaksi normal, sementara aktivitas di latar belakang tetap berlangsung.
Melebihi hanya sekadar mencuri kredensial, beberapa jenis malware ini juga mentransmisikan konten layar secara langsung ke server jarak jauh, menciptakan umpan visual kontinu yang memungkinkan penyerang mengamati aktivitas dan mencegat langkah otentikasi secara real-time.
Kanal komunikasi terenkripsi menghubungkan perangkat terinfeksi dengan sistem komando terpusat yang mengoordinasikan serangan dan mendistribusikan instruksi terbaru. Sistem ini mampu mengelola ribuan perangkat yang dikompromikan secara bersamaan, sehingga memudahkan pengorganisasian pencurian finansial secara besar-besaran.
Para peneliti Zimperium menekankan bahwa metode evasi yang terus berkembang, termasuk muatan tersembunyi dan manipulasi struktur file, membuat deteksi oleh alat keamanan tradisional menjadi semakin sulit.
Jadi, bagi para pengguna, tetap waspada dan pastikan untuk mengunduh aplikasi hanya dari sumber yang dipercaya untuk menjaga keamanan perangkat Anda.
