Malware Android SpyLoan di Google Play Terinstal 8 Juta Kali, Ada 3 Aplikasi dari Indonesia!

Pembersihan SpyLoan besar-besaran terakhir di Google Play dilakukan pada Desember 2023, ketika lebih dari belasan aplikasi telah mengumpulkan 12 juta unduhan telah dihapus.

Meskipun ada mekanisme peninjauan aplikasi Google untuk memblokir perangkat lunak yang melanggar ketentuan Play Store, aplikasi SpyLoan terus lolos dari pengawasan.

Untuk melindungi diri dari risiko tersebut, pengguna wajib membaca ulasan aplikasi terkait, periksa reputasi pengembang, batasi izin yang diberikan ke aplikasi setelah penginstalan, dan pastikan Google Play Protect aktif di perangkat.

Di sisi lain, generator gambar dan video AI palsu menginfeksi Windows dan macOS dengan malware pencuri informasi, Lumma Stealer dan AMOS, yang digunakan untuk mencuri kredensial dan dompet mata uang kripto dari perangkat yang terinfeksi.

Lumma Stealer adalah malware Windows dan AMOS malware macOS. Keduanya sama-sama berbahaya karena mencuri dompet mata uang kripto dan cookie, kredensial, kata sandi, kartu kredit, serta riwayat penelusuran dari Google Chrome, Microsoft Edge, Mozilla Firefox, dan browser Chromium lainnya.

Data ini dikumpulkan ke dalam arsip dan dikirim kembali ke penyerang, tempat mereka dapat menggunakan informasi tersebut untuk serangan lebih lanjut atau menjualnya di dark web.

Bulan lalu, pelaku kejahatan siber telah membuat situs web palsu yang menyamar sebagai editor video dan gambar AI bernama EditPro.

Seperti yang ditemukan oleh peneliti keamanan siber g0njxa, situs-situs tersebut dipromosikan melalui hasil pencarian dan iklan di X yang membagikan video politik deepfake, seperti Presiden Biden dan Trump yang sedang menikmati es krim bersama.

Dengan mengeklik gambar-gambar tersebut, kamu akan diarahkan ke situs web palsu untuk aplikasi EditProAI (editproai.pro) yang dibuat untuk menyebarkan malware Windows dan editproai.org untuk menyebarkan malware macOS.

Situs-situs tersebut tampak profesional dan bahkan berisi spanduk cookie yang ada di mana-mana, sehingga tampak sah.

Ketika korban mengeklik tautan "Get Now", malware akan mengunduh file yang dapat dieksekusi (berpura-pura menjadi aplikasi EditProAI).

Untuk pengguna Windows, file itu disebut "Edit-ProAI-Setup-newest_release.exe" [VirusTotal] dan untuk macOS, file tersebut dinamai "EditProAi_v.4.36.dmg" [VirusTotal].

Malware Windows ditandai oleh apa yang tampak seperti sertifikat penandatanganan kode curian dari Softwareok.com, pengembang utilitas freeware.

G0njxa mengatakan malware menggunakan panel di "proai[.]club/panelgood/" untuk mengirim data curian, yang kemudian dapat diambil kembali di lain waktu oleh pelaku ancaman.

Laporan AnyRun menunjukkan eksekusi varian Windows, dengan layanan sandbox mendeteksi malware sebagai Lumma Stealer.

Jika kamu telah mengunduh program ini sebelumnya, kamu harus menganggap semua kata sandi, dompet mata uang kripto, dan autentikasi telah disusupi dan segera mengatur ulang dengan kata sandi unik di setiap situs yang kamu kunjungi.

Kamu juga harus mengaktifkan autentikasi multifaktor di semua situs sensitif, seperti bursa mata uang kripto, perbankan online, layanan email, dan layanan keuangan.

Malware pencuri informasi telah mengalami pertumbuhan besar selama beberapa tahun terakhir, dengan pelaku ancaman melakukan operasi global besar-besaran untuk mencuri kredensial dan token autentikasi orang.

Serangan lain yang baru-baru ini mendorong pencurian informasi termasuk penggunaan kerentanan zero-day, perbaikan palsu untuk masalah GitHub, dan bahkan jawaban palsu di StackOverflow.

Kredensial yang dicuri kemudian digunakan untuk membobol jaringan perusahaan, melakukan kampanye pencurian data seperti yang kita lihat pada pelanggaran akun SnowFlake besar-besaran, dan menyebabkan kekacauan dengan merusak informasi perutean jaringan.