Liputan6.com, Jakarta - Penjahat siber baru-baru ini kedapatan menggunakan sebuah situs web palsu disamarkan sebagai laman antivirus resmi dari Avatst, Bitdefender, dan Malwarebytes.
Dengan cara ini, pelaku kejahatan siber dapat secara diam-diam menyebarkan malware berkemampuan mencuri informasi sensitif dari perangkat Android dan Windows milik korban.
Advertisement
"Menyamarkan software berbahaya di sebuah situs web antivirus palsu lebih bonafit menyerang korban, terutama mereka yang ingin melindungi perangkat mereka dari serangan siber," kata peneliti keamanan Trellix, Gurumoorthi Ramanathan.
Mengutip laporan Gurumoorthi via The Hacker News, Sabtu (25/5/2024), situs avast-securedownload[.]com dipakai hacker untuk menyebarkan trojan SpyNote.
Saat program palsu ini terinstal di perangkat, maka malware ini dapat membaca SMS, riwayat panggilan, instal dan hapus aplikasi, ambil screenshot, melacak lokasi, dan menambang mata uang kripto.
Sedangkan situs palsu bitdefender-app[.]com, pelaku menggunakan web ini untuk mengirim file ZIP yang dapat mencuri informasi pengguna, mulai dari data pribadi hingga perbankan dari perangkat mereka.
Terakhir adalah laman web malwarebytes[.]pro, di mana pelaku kejahatan menggunakan untuk menyebarkan file RAR yang dapat menjalankan malware StealC dan juga mencuri informasi korbannya.
Saat ini masih belum diketahui secara jelas bagaimana situs-situs palsu ini disebarluaskan, namun kampanye serupa di masa lalu menggunakan teknik malvertising dan 'meracuni' optimasi mesin pencari (SEO) sehingga selalu muncul paling teratas di pencarian.
Malware pencuri semakin menjadi ancaman umum, dengan penjahat dunia maya mengiklankan berbagai varian khusus dengan berbagai tingkat kerumitan.
Oleh karena itu, ada baiknya kamu sebagai pengguna internet baik untuk bekerja, kuliah, atau sekolah dapat lebih berhati-hati lagi dengan maraknya aksi serangan siber ini.
Pembaruan Palsu Google Play Sebarkan Malware
Di sisi lain, bayangkan bila suatu pagi bangun dari tidur untuk menemukan ponsel kamu telah dibajak oleh seorang hacker. Pesan pribadi kamu, informasi perbankan, dan kendali HP Android kamu berada di tangan mereka.
Ini dapat menjadi kenyataan mengerikan bagi pengguna Android saat mereka menjadi korban malware Antidot, di mana ancaman dunia maya canggih menyamar sebagai pembaruan Google Play yang tidak berbahaya.
Malware menunjukkan laman pembaruan Google Play palsu ini mendukung berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris.
Dengan dukungan bahasa beragam, ini berarti penjahat membuat malware Antidot menargetkan berbagai pengguna berbeda dan negara di dunia.
Bagaimana cara Antidot ini mencuri data pengguna? Mengutip laporan Cyble via Dark Reading, Rabu (22/5/2024), malware ini menggunakan dua jurus, yaitu serangan overlay dan keylogging.
Advertisement
Aplikasi Google Play Palsu Sebar Malware
Apa itu? Serangan overlay membuat tampilan palsu mirip dengan laman aplikasi Google Play asli, dan menipu pengguna untuk memasukkan informasi data login mereka.
Sementara keylogging diam-diam mecatat semua keystroke yang korban pencet di keyboard, sehingga malware dapat mencuri data, termasuk password dan lainnya.
"Parahnya, malware Antidot ini bisa beroperasi karena diberi akses "Accessibility" oleh korban tanpa mereka sadari," kata Rupali Parate, peneliti di Cyble.
Dengan akses ini, pelaku kejahatan dapat menyalahgunakan izin "Accessibility" tersebut untuk terhubung ke server milik hacker dan menerima perintah dari luar.
Pelaku Berpotensi Kendalikan Perangkat Korban
Server jahat tersebut kemudian meminta daftar aplikasi yang terinstall di HP kamu. Ngeri kan? Soalnya nanti malware ini bisa fokus mencuri data dari aplikasi-aplikasi tertentu!
Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay (halaman phishing HTML) yang ditampilkan kepada korban setiap kali korban membuka aplikasi asli.
Saat korban memasukkan kredensial mereka di laman palsu tersebut, modul keylogger akan mengirimkan data ke server C2. Ini memungkinkan malware mencuri informasi korbannya.
“Bedanya Antidot adalah penggunaan WebSocket untuk menjaga komunikasi dengan server [C2],” kata Parate. “Hal ini memungkinkan interaksi dua arah secara real-time untuk menjalankan perintah, memberikan penyerang kendali penuh terhadap perangkat terinfeksi.”
Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan pesan SMS, inisiasi permintaan data layanan tambahan tidak terstruktur (USSD), dan kendali jarak jauh fitur perangkat seperti kamera dan kunci layar.
Advertisement