Cyberthreat.id – Perusahaan keamanan siber untuk perangkat seluler asal AS, Zimperium, menemukan perangkat lunak jahat (malware) baru dengan kemampuan spionase atau mata-mata (spyware) yang menyamar sebagai aplikasi "System Update".

Aplikasi Android tersebut tidak diunduh di Google Play Store, tapi dari pihak ketiga. Aplikasi spyware ini mampu mencuri hampir semuanya, antara lain data, pesan, gambar.

Tak hanya itu, menurut Zimperium, spyware ini dapat mengambil kendali ponsel Android.

"Setelah memegang kendali, peretas dapat merekam audio dan panggilan telepon, mengambil foto, meninjau riwayat browser, mengakses pesan WhatsApp, dan banyak lagi," kata Peneliti Zimperium, dikutip dari BleepingComputer, diakses Minggu (28 Januari 2021).

Berbagai kemampuan aplikasi spyware itu, antara lain:

• mencuri pesan aplikasi perpesanan instan
• mencuri file basis data perpesanan instan (jika tersedia)
• memeriksa bookmark dan pencarian peramban web default
• memeriksa bookmark dan riwayat pencarian dari Google Chrome, Mozilla Firefox, dan Samsung Internet Browser
• mencari file dengan ekstensi tertentu (termasuk .pdf, .doc, .docx, dan .xls, .xlsx)
• memeriksa data clipboard
• memeriksa konten notifikasi
• merekam audio
• merekam panggilan telepon
• ambil gambar secara berkala (baik melalui kamera depan atau belakang)
• daftar aplikasi yang diinstal
• mencuri gambar dan video
• memantau lokasi GPS
• mencuri pesan SMS
• mencuri kontak telepon
• mencuri log panggilan
• memfiltrasi informasi perangkat (misalnya aplikasi terinstal, nama perangkat, statistik penyimpanan)

Setelah berhasil diinstal oleh pengguna, mennurut ulasan TechCrunch, malware berkomunikasi dengan peladen Firebase milik operator yang digunakan untuk mengontrol perangkat dari jarak jauh.

Operator di balik aplikasi itu mengirim sejumlah perintah melalui peladen Firebase, dan ketika perintah diterima , malware akan melakukan berbagai hal seperti merekam audio dari mikrofon dan eksfiltrasi data seperti pesan SMS.

Aplikasi spyware tersebut mengambil data secara langsung jika sudah memiliki akses atau menggunakan "Layanan Aksesibilitas" yang, menurut Zimperium, diperoleh dari rekayasa sosial dengan meminta pengguna untuk mengaktifkan layanan tersebut.

Andaikata korban menggunakan jaringan wi-fi, semua data yang dicuri dari semua folder dikirim oleh aplikasi ke server perintah dan kontrol (C2) khusus buatan peretas yang digunakan untuk mengumpulkan data curian.

Untuk menyamarkan aksi jahatnya, peretas menampilkan seolah-olah aplikasi "System Update" ini benar sah, di mana saat layar terkunci muncul tampilan sedang mencari pembaruan padahal itu bukan dari sistem Android melainkan berasal dari aplikasi spyware yang terinstal.

Tak sekadar itu, aplikasi juga berusaha bersembunyi dari tampilan menu ikon yang biasanya tempat daftar aplikasi yang telah diinstal atau dipasang di ponsel. Untuk menghindari deteksi lebih lanjut, aplikasi juga mengurangi konsumsi bandwidth korban agar tidak mencuri perhatian korban bahwa sedang ada aktivitas mengirim data ke server peretas di latar belakang.

Namun, malware di balik aplikasi "System Updates" tidak seperti malware lainnya yang mengambil secara keseluruhan bersamaan atau massal data yang ada di perangkat korban. Malware hanya mengeksfiltrasi data terbaru, mengumpulkan data lokasi yang dibuat, dan foto yang diambil dalam beberapa menit terakhir.

CEO Zimperium, Shridhar Mittal, mengatakan malware tersebut bagian dari serangan yang ditargetkan dan paling canggih yang pernah dilihat.

"“Saya pikir [pengembang malware ini membutuhkan] banyak waktu dan upaya yang dihabiskan untuk membuat aplikasi ini. Kami percaya bahwa ada aplikasi lain di luar sana yang seperti ini, dan kami berusaha sebaik mungkin untuk menemukannya secepat mungkin," kata Mittal, dikutip dari TechCrunch.

Karena itu, ia menyarankan agar pengguna ponsel tidak memasang aplikasi dari luar toko aplikasi resmi. Sayangnya, ada celah yang bisa dimanfaatkan peretas, yaitu banyak ponsel lama yang tidak didukung oleh aplikasi terbaru sehingga membuatnya mengandalkan versi lama yang hanya tersedia di toko pihak ketiga atau aplikasi bajakan.[]

Redaktur: Andi Nugroho