Bahaya Tersembunyi! 90 Aplikasi Android Ini Mengintai di Play Store, Telah Diunduh Jutaan Kali!

Zscaler ThreatLabz menyebutkan, "malware Anatsa menyamarkan diri sebagi aplikasi bernama "PDF Reader & File Manager" dan "QR Reader & File Manager" untuk menipu korban."

Saat ini, kedua aplikasi tersebut sudah dihapus dari Play Store setelah sebelumnya sudah diunduh 70 ribu kali. Lalu bagaimana pelaku kejahatan siber dibalik penyebaran malware ini dapat menipu sistem keamanan Play Store?

Disebutkan, pelaku menggunakan mekanisme beberapa langkah untuk menghindari deteksi keamanan milik Google. Dengan kemampuan ini, sistem keamanan pun semakin sulit mendeteksi.

Selain malware Anatsa, tim peneliti keamanan ada lebih dari 90 aplikasi mendistribusukan beberapa tipe malware terkenal, seperti Joker, Facestealer, Coper, dan Adwre.

Sayangnya, peneliti tidak menyebutkan nama-nama aplikasi berbahaya yang mereka temukan di Play Store. Namun, mereka mengatakan malware tersebut menyamarkan diri sebagai aplikasi produktifitas, fotografi, kesehatan, dan masih banyak lagi.

Malware menunjukkan laman pembaruan Google Play palsu ini mendukung berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris.

Dengan dukungan bahasa beragam, ini berarti penjahat membuat malware Antidot menargetkan berbagai pengguna berbeda dan negara di dunia.

Bagaimana cara Antidot ini mencuri data pengguna? Mengutip laporan Cyble via Dark Reading, Rabu (22/5/2024), malware ini menggunakan dua jurus, yaitu serangan overlay dan keylogging.

Apa itu? Serangan overlay membuat tampilan palsu mirip dengan laman aplikasi Google Play asli, dan menipu pengguna untuk memasukkan informasi data login mereka.

Sementara keylogging diam-diam mecatat semua keystroke yang korban pencet di keyboard, sehingga malware dapat mencuri data, termasuk password dan lainnya.

"Parahnya, malware Antidot ini bisa beroperasi karena diberi akses "Accessibility" oleh korban tanpa mereka sadari," kata Rupali Parate, peneliti di Cyble.

Dengan akses ini, pelaku kejahatan dapat menyalahgunakan izin "Accessibility" tersebut untuk terhubung ke server milik hacker dan menerima perintah dari luar.

Server jahat tersebut kemudian meminta daftar aplikasi yang terinstall di HP kamu. Ngeri kan? Soalnya nanti malware ini bisa fokus mencuri data dari aplikasi-aplikasi tertentu!

Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay (halaman phishing HTML) yang ditampilkan kepada korban setiap kali korban membuka aplikasi asli.

Saat korban memasukkan kredensial mereka di laman palsu tersebut, modul keylogger akan mengirimkan data ke server C2. Ini memungkinkan malware mencuri informasi korbannya.

“Bedanya Antidot adalah penggunaan WebSocket untuk menjaga komunikasi dengan server [C2],” kata Parate. “Hal ini memungkinkan interaksi dua arah secara real-time untuk menjalankan perintah, memberikan penyerang kendali penuh terhadap perangkat terinfeksi.”

Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan pesan SMS, inisiasi permintaan data layanan tambahan tidak terstruktur (USSD), dan kendali jarak jauh fitur perangkat seperti kamera dan kunci layar.

“Mereka dapat memonitor aktivitas real-time, melakukan transaksi tidak sah, mengakses informasi pribadi, dan memanipulasi perangkat seolah-olah mereka sedang memegangnya secara fisik,” katanya.

“Kemampuan ini memaksimalkan potensi mereka untuk mengeksploitasi sumber daya keuangan dan data pribadi korban.”