Liputan6.com, Jakarta - Malware SharkBot versi baru kedapatan muncul kembali di Google Play Store, dan menargetkan pengguna Android.
Seperti versi sebelumnya, malware SharkBot ini memiliki kemampuan untuk mencuri login kredensial perbankan milik korban saat menginstal aplikasi.
Advertisement
Diketahui, malware SharkBot ini menyamarkan diri sebagai dua aplikasi Android yang telah diinstal puluhan ribu kali oleh pengguna.
Mengutip postingan Fox IT via BleepingComputer, Selasa (6/9/2022), kedua aplikasi berbahaya tersebut adalah Mister Phone Cleaner dan Kylhavy Mobile Security.
Disebutkan, kedua aplikasi yang menyembunyikan malware SharkBot itu ternyata telah diinstal sebanyak 60.000 kali secara total.
Sejak berita ini diterbtkan, Mister Phone Cleaner dan Kylhavy Mobile Security sudah dihapus dari Google Play Store.
Akan tetapi, bagi pengguna yang sudah kadung meninstal kedua aplikasi berisi malware itu rentan dari peretasan dan diminta menghapusnya secara manual.
Analis malware di Cleafy, perusahaan manajemen dan pencegahan penipuan online di Italia, menemukan SharkBot pada Oktober 2021.
Pada Maret 2022, NCC Group menemukan aplikasi pertama yang menyembunyikan malware tersebut muncul di Google Play Store.
Kala itu, SharkBot mampu mencuri data saat keylogging, mencegat pesan SMS, atau memberi pelaku kendali perangkat dari jarak jauh
Evolusi Malware SharkBot
Pada Mei 2022, peneliti di ThreatFabric menemukan SharkBot 2 dengan kemampuan algoritme pembuatan domain (DGA), protokol komunikasi diperbarui, dan kode sepenuhnya dibuat ulang.
Sedangkan versi 2.25, malware ini kembali mendapatkan kemampuan baru untuk mencuri cookie dari login rekening bank.
Selain itu, aplikasi dropper baru di malware SharkBot terkini tidak perlu lagi menyalahgunakan layanan aksesibilitas seperti sebelumnya.
Selama penyelidikan, Fox IT mengamati penyebaran SharkBot baru ini mayorita di Eropa (Spanyol, Austria, Jerman, Polandia, Austria) dan AS.
Para peneliti memperhatikan, malware menggunakan fitur keylogging dalam serangan ini dan mencuri info sensitif langsung dari aplikasi resminya.
Advertisement
Hacker Pakai Foto Teleskop James Webb untuk Sebar Malware
Kelompok hacker kedapatan menyebarkan malware bernama "GO#WEBBFUSCATOR" dengan cara menggunakan foto teleskop James Webb.Dikutip dari Bleeping Computer, Rabu (31/8/2022), malware ini ditulis menggunakan bahasa pemrograman yang mendapatkan popularitas di kalangan penjahat siber lintas platform (Windows, Linux, dan Mac).
Tak hanya itu, malware baru ini memiliki kemampuan lebih baik terhadap rekayasa balik dan analisa dari para peneliti keamanan siber.
Dalam aksi penyebaran baru ini yang ditemukan oleh peneliti di Securonix, pelaku ancaman menjatuhkan muatan yang tidak ditandai berbahaya oleh antivirus di platform VirusTotal.
Diketahui, cara kerja malware ini diawali dengan email phishing berisikan lampiran dokumen bernama "Geos-Rates.docx".
Saat dokumen berbahaya itu diklik, pengguna akan diminta untuk men-download file template berisikan makro VBS disamarkan agar dapat beroperasi secara otomatis saat makro diaktifkan di aplikasi Office.
Lewat kode yang ditulis oleh hacker, sebuah gambar JPG (“OxB36F8GEEC634.jpg”) akan di download dari server remote (“xmlschemeformat[.]com”), dan diterjemahkan menjadi file .exe (“msdllupdate.exe”) menggunakan certutil.exe, dan meluncurkannya.
Saat dibuka menggunakan software image viewer, file .JPG menunjukkan gugus galaksi SMACS 0723 yang diterbitkan oleh Badan Antariksa Amerika Serikat (NASA) pada Juli 2022.
Sebar Ransomware Lewat Genshin Impact
Hacker memanfaatkan software anti-cheat Genshin Impact untuk menyebar ransomware dan mematikan antivirus.
Setidaknya satu peretas menggunakan software anti-cheat bernama 'mhyprot2.sys' di dalam game MMOPRG Genshin Impact untuk mendistribusikan ransomware secara massal.
Vendor antivirus Trend Micro mendapati hal ini pada Juli 2022, dari pelanggan yang menjadi korban ransomware meski sistemnya telah diproteksi dengan perlindungan endpoint.
Ketika peneliti Trend Micro menyelidiki serangan tersebut, mereka menemukan seorang peretas menggunakan driver bertanda kode 'mhyprot2.sys', untuk melewati dan mematikan perlindungan virus dengan perintah kernel.
Windows mengenali sistem 'mhyprot2.sys' sebagai sistem yang dapat dipercaya, sehingga Genshin Impact pun tak perlu diinstal agar driver eksploit bisa berfungsi. Pasalnya, pelaku jahat bisa memakainya secara mandiri dan menambahkan 'mhyprot2.sys' ke malware apa pun.
Mengutip Techspot, Senin (29/8/2022), driver ini sebenarnya sudah ada sejak 2020. Pengembang GitHub bahkan membuat bukti konsep yang menunjukkan bagaimana seseorang bisa menyalahgunakan driver tersebut untuk mematikan proses sistem, termasuk antivirus.
(Ysl/Tin)
Advertisement