KONTEKS.CO.ID – Dua aplikasi yang berpotensi berbahaya dengan jumlah unduhan yang cukup banyak telah dihapus dari Google Play Store.
Aplikasi itu adalah antivirus Mister Phone Cleaner dan Kylhavy Mobile Security. Secara kolektif keduanya diinstal 60.000 kali oleh pengguna Android.
Situs BleepingComputer mengungkapkan, kedua aplikasi berusaha mencuri login perbankan. Caranya, dengan menginstal versi evolusi dari malware SharkBot yang terkenal jahat.
Aplikasi awalnya berhasil masuk ke App Store karena tidak mengandung kode berbahaya apa pun yang akan menyebabkan Google menolak. Walaupun sebenarnya Mister Phone Cleaner dan Kylhavy Mobile Security adalah aplikasi pembantu yang dibuat untuk mengirimkan malware ke ponsel Android.
Setelah diinstal, pengguna diminta menginstal pembaruan agar tetap terlindungi dari ancaman yang pada dasarnya adalah cara menginstal SharkBot di ponsel korban.
Meskipun aplikasi ini tidak lagi tersedia di Play Store, pengguna yang mengunduhnya sebelumnya harus menghapusnya dari ponsel atau menanggung risiko.
Bahaya Aplikasi SharkBot
SharkBot pertama kali ditemukan pada akhir 2021 dan aplikasi pertama dengannya ditemukan di Play Store pada bulan Maret tahun ini. Modus operasi pada saat itu adalah mencuri informasi melalui keylogging, mencegat pesan teks, menipu pengguna menggunakan serangan overlay layar untuk membocorkan informasi sensitif.
Atau memberikan remote control kepada penjahat siber dari perangkat yang terinfeksi dengan menyalahgunakan Layanan Aksesibilitas.
Versi upgrade yang disebut SharkBot 2 terlihat pada bulan Mei dan pada 22 Agustus, Fox-IT menemukan versi 2.25 yang mampu mencuri cookie dari login rekening bank. Aplikasi yang baru ditemukan dengan SharkBot 2.25 tidak menyalahgunakan Layanan Aksesibilitas dan juga tidak memerlukan fitur Balasan Langsung. Karena ini dapat mempersulit mereka untuk disetujui di Play Store.
Mereka malah meminta server perintah-dan-kontrol untuk langsung menerima file APK Sharkbot. Setelah itu, aplikasi membantu memberi tahu pengguna tentang pembaruan dan meminta mereka menginstal APK serta mengizinkan izin yang diperlukan.
Untuk menghindari deteksi otomatis, SharkBot menyimpan konfigurasi hard-code dalam bentuk terenkripsi. Menggunakan pencatat cookie, malware menyedot cookie sesi yang valid saat pengguna masuk ke rekening bank dan mengirimkannya ke server perintah-dan-kontrol.
Cookie sangat berharga bagi pelaku ancaman karena membantu mereka menghindari pemeriksaan sidik jari. Sekaligus menghindari persyaratan token otentikasi pengguna dalam beberapa kasus.
Malware tersebut mampu mencuri data seperti kata sandi dan saldo akun dari aplikasi perbankan resmi. Untuk beberapa aplikasi, malware dapat menghindari login sidik jari.
SharkBot tampaknya menargetkan pengguna di Australia, Austria, Jerman, Italia, Polandia, Spanyol, Inggris, dan AS. Indonesia tampaknya masih aman dari kejahatan mereka.
Baca berita pilihan konteks.co.id lainnya di "Google News"
