Malware Curi Data Pribadi Dengan Cara Seperti Google Lens

Peneliti keamanan menemukan sebuah malware yang langka yakni aplikasi Android berbahaya yang menggunakan pengenalan karakter optik seperti yang dipakai Google Lens (OCR) untuk mencuri kredensial yang ditampilkan di layar ponsel.

Malware yang dijuluki CherryBlos oleh peneliti dari perusahaan keamanan Trend Micro ini telah disematkan ke dalam setidaknya empat aplikasi Android yang tersedia di luar Google Play, khususnya di situs-situs penipuan yang dengan godaan menghasilkan uang dari aplikasi. Salah satu aplikasi bahkan sempat nangkring slama hampir satu bulan di Google Play tetapi tidak mengandung code CherryBlos yang berbahaya. Para peneliti juga menemukan aplikasi mencurigakan di Google Play yang dibuat oleh pengembang yang sama, tetapi mereka juga tidak mempunyai code berbahaya.

Memakai Teknik-teknik canggih

Aplikasi-aplikasi tersebut sangat berhati-hati dalam menyembunyikan fungsi berbahaya itu. Mereka menggunakan versi berbayar dari perangkat lunak komersial yang dikenal sebagai Jiagubao untuk mengenkripsi kode dan string kode untuk memblokir analisia untuk mendeteksi fitur berbahaya tersebut. Aplikasi ini juga menggunakan teknik untuk memastikan aplikasi tetap aktif pada ponsel yang telah menginstalnya. Ketika pengguna membuka aplikasi resmi Binance atau layanan mata uang kripto lainnya, CherryBlos melapisi layar dengan tiruan tampilan aplikasi yang sebenarnya. Dan ketika bertransakasi, CherryBlos akan mengganti alamat dompet yang dipilih korban untuk menerima dana dengan alamat yang dimiliki oleh penyerang.

Yang paling menarik dari malware ini adalah fiturnya yang langka, bisa dikatakan baru, yang memungkinkannya untuk menyadap kata sandi mnemonik yang digunakan untuk mendapatkan akses ke sebuah akun. Ketika aplikasi yang sah menampilkan kata sandi di layar ponsel, malware pertama-tama mengambil gambar layar dan kemudian menggunakan OCR untuk menerjemahkan gambar tersebut ke dalam format teks yang dapat digunakan untuk membobol akun.

"Setelah berhasil, CherryBlos akan melakukan dua tugas berikut: 1. Membaca gambar dari penyimpanan eksternal dan menggunakan OCR untuk mengekstrak teks dari gambar-gambar ini [dan] 2. Mengunggah hasil OCR ke server C&C secara berkala," kata para peneliti.

Sebagian besar aplikasi yang terkait dengan perbankan dan keuangan pastinya pelakukan pencegahan untuk mengambil tangkapan layar selama transaksi sensitif. CherryBlos tampaknya bisa menerobos pembatasan tersebut dengan mendapatkan izin aksesibilitas untuk mengakse fitur yang digunakan oleh orang-orang dengan gangguan penglihatan atau jenis disabilitas lainnya.

Pencarian untuk contoh malware sebelumnya yang menggunakan OCR tidak ditemukan, menunjukkan bahwa praktik tersebut tidak umum. Trend Micro sendiri belum memberitahukan apakah ada aplikasi lain yang serupa.

CherryBlos disematkan ke dalam aplikasi yang tersedia di situs berikut ini:

Seperti kebanyakan trojan perbankan modern, CherryBlos membutuhkan izin akses untuk bekerja," tulis para peneliti. "Ketika pengguna membuka aplikasi, ia akan menampilkan jendela dialog popup yang meminta pengguna untuk mengaktifkan izin aksesibilitas. Sebuah situs web resmi juga akan ditampilkan melalui WebView untuk menghindari kecurigaan dari korban."

Setelah mendapatkan izin, aplikasi berbahaya ini menggunakannya tidak hanya untuk mengambil gambar informasi sensitif yang ditampilkan di layar, tetapi juga untuk melakukan aktivitas jahat lainnya. Teknik-teknik ini termasuk teknik penghindaran pertahanan seperti (1) secara otomatis menyetujui permintaan izin dengan mengklik otomatis tombol "izinkan" ketika dialog sistem muncul dan (2) mengembalikan pengguna ke layar beranda ketika mereka masuk ke pengaturan aplikasi, mungkin sebagai kontinjensi anti-penghapusan atau anti-pembunuhan.

Malware ini juga menggunakan izin aksesibilitas untuk memantau sewaktu aplikasi wallet yang asli dibuka. Ketika terdeteksi, aplikasi ini otomatis meluncurkan aktivitas palsu yang telah ditentukan. Tujuannya adalah untuk mendorong korban untuk mengisi kredensial mereka.

Aplikasi lain

Para peneliti menemukan lusinan aplikasi tambahan, yang sebagian besar dihosting di Google Play, yang menggunakan sertifikat digital atau infrastruktur penyerang yang sama dengan empat aplikasi CherryBlos. Meskipun 31 aplikasi tersebut tidak mengandung muatan berbahaya, para peneliti tetap menandainya.

"Meskipun aplikasi-aplikasi ini tampaknya memiliki fungsionalitas yang lengkap di permukaan, kami masih menemukan bahwa mereka menunjukkan beberapa perilaku yang tidak normal," tulis mereka. "Secara khusus, semua aplikasi tersebut sangat mirip, dengan satu-satunya perbedaan adalah bahasa yang diterapkan pada antarmuka pengguna karena berasal dari template aplikasi yang sama. Kami juga menemukan bahwa deskripsi aplikasi di Google Play juga sama."

Para peneliti mengatakan bahwa Google telah menghapus semua aplikasi serupa yang tersedia di Play. Daftar aplikasi tersebut tersedia di sini.

Pencegahan

Penelitian ini cuma menggambarkan ancaman aplikasi berbahaya terbaru. Tidak ada solusi untuk menghindari ancaman semacam ini, tetapi beberapa tindakan pencegaha untuk menghindari hal yang tak diinginkan. Di antaranya:

• Jangan mengunduh aplikasi dari situs pihak ketiga dan melakukan sideload kecuali Anda tahu apa yang Anda lakukan dan mempercayai pihak yang mengendalikan situs tersebut.
• Baca ulasan aplikasi sebelum menginstalnya. Berhati-hatilah dalam mencari ulasan yang menyatakan bahwa aplikasi tersebut berbahaya.
• Tinjau dengan cermat izin yang diperlukan oleh aplikasi, dengan perhatian khusus pada aplikasi yang meminta izin aksesibilitas.

"Aktor ancaman di balik kampanye ini menggunakan teknik canggih untuk menghindari deteksi, seperti pengemasan perangkat lunak, pengaburan, dan menyalahgunakan Layanan Aksesibilitas Android," tulis para peneliti. "Kampanye ini telah menargetkan audiens global dan terus menimbulkan risiko yang signifikan bagi pengguna, sebagaimana dibuktikan dengan masih adanya aplikasi berbahaya di Google Play."