Cyberthreat.id - Aplikasi Android berbahaya yang menyamar sebagai TikTok dan menawarkan laptop Lenovo gratis, digunakan dalam serangan yang membombardir perangkat dengan muatan iklan mengganggu. Serangan adware itu sedang berlangsung terhadap perangkat yang menggunakan jaringan Jio Telecom di India.

Peneliti dari Zscaler melaporkan aktor ancaman ini telah mengoperasikan berbagai penipuan phishing sejak Maret 2020. Semuanya menggunakan berita terbaru sebagai umpan.

Dalam pesan yang dikirimkan, mereka mencoba meyakinkan penerima pesan untuk mengunduh versi palsu TikTok dengan mengatakan aplikasi yang dilarang di India, sekarang sudah tersedia untuk diunduh. Penipuan lainnya menyesatkan korban sehingga mengira mereka berhak atas laptop Lenovo gratis dari pemerintah India.

Menyerang Pengguna Jio
“Malware yang terlibat memiliki fitur yang juga biasa ditemukan di keluarga lain, seperti penyebaran menggunakan informasi kontak korban," kata Deepen Desai, Zscaler CISO, seperti diberitakan Threatpost, Kamis (8 April 2021).

"Kampanye serangan cukup bertarget dan memanfaatkan sumber daya tepercaya seperti Weebly dan GitHub untuk mendistribusikan konten berbahaya kepada para korban," tambahnya.

Serangan itu menargetkan pengguna Jio Telecom yang melayani lebih dari setengah pengguna internet di India, yang menurut laporan Otoritas Regulator Telekomunikasi India pada Maret 2020 mencapai 743 juta orang.

Desai menambahkan, tim Zscaler mengamati lebih dari 200 aplikasi Android berbahaya menggunakan "tema yang terkait dengan masalah terkini di India".

Pelaku ancaman membombardir SMS atau pesan WhatsApp ke nomor-nomor di jaringan Jio dengan pesan iming-iming phishing dan tautan yang menjanjikan laptop Lenovo gratis sebagai pemikat. Tautan itu mengarah ke situs yang dihosting Weebly yang dikendalikan oleh penjahat dunia maya, katanya.

"Dalam permintaan unduhan asli yang kami amati di cloud Zscaler, string agen pengguna adalah: WhatsApp/ 2.21.4.22 yang menunjukkan bahwa tautan tersebut diklik oleh pengguna dalam pesan WhatsApp," menurut analisis tersebut.

Laporan tersebut menambahkan contoh tambahan dari URL:

Situs web: https://tiktokplus[.] Weebly.com/Shortened link: http:// tiny[.] Cc/Tiktok_pro
URL: https://tiktokplus[.]Weebly.com/
Tautan unduhan GitHub: https://github.com/breakingnewsindia/t1/raw/main/Tiktik-h[dot]apk

Setelah target berada di situs jahat, penyerang mencoba membuat pengguna mendownload file paket Android (APK).

Dalam kasus serangan bertema Lenovo, APK memanggil datalaile.class, yang pertama kali memeriksa apakah ia memiliki izin, jika tidak, sebuah pesan akan ditampilkan yang mengatakan, "Perlu Izin untuk memulai aplikasi!!" kata laporan itu. Setelah izin diberikan, formulir yang meminta nama pengguna dan kata sandi ditampilkan.

Langkah selanjutnya dalam rantai ini adalah para penyerang mencoba dan menyebarkan malware sejauh dan seluas mungkin. Dalam contoh serangan TikTok palsu it, malware meminta korban untuk membagikan tautan berbahaya di WhatsApp 10 kali.

"Tidak ada pemeriksaan untuk mengidentifikasi apakah WhatsApp dipasang atau tidak," kata para peneliti. “Jika WhatsApp tidak diinstal, pesan Toast akan ditampilkan bertuliskan 'WhatsApp tidak diinstal,' tetapi penghitung masih menurun.”

Setelah pesan dibagikan dengan 10 orang lainnya, pesan ucapan selamat dikirimkan, yang ketika diklik memanggil clickendra.class yang menampilkan iklan, diakhiri dengan pesan terakhir bahwa "TikTok akan dimulai dalam 1 jam."

Malware Ad-Stuffer
"Aplikasi ini digunakan oleh pelaku ancaman untuk menghasilkan pendapatan dengan menampilkan iklan  kepada pengguna," kata laporan itu. “Ada dua perangkat pengembangan perangkat lunak (SDK) yang digunakan untuk tujuan ini. Jika gagal mengambil iklan menggunakan satu SDK, maka itu menggunakan SDK berikutnya sebagai mekanisme fail-over. ”

Mereka menambahkan bahwa dua SDK yang diamati dalam aplikasi tersebut adalah AppLovin dan StartApp.

"Sebelum menampilkan iklan, tampilan palsu dibuat untuk pengguna yang berisi pesan teks palsu dan bilah kemajuan palsu di atas semua elemen," tambah laporan itu.

“Setelah mengatur tampilan palsu, permintaan untuk mengambil iklan dikirim. Jika iklan berhasil diterima, maka itu akan ditampilkan dan bilah kemajuan palsu disembunyikan, jika tidak, permintaan untuk memuat iklan berikutnya akan dikirim. ”

Jika iklan gagal dimuat, tim Zscaler mengamati, malware ad-stuffer memanggil lastactivity.class untuk menampilkan pesan kepada korban, meminta mereka untuk "Klik iklan dan instal aplikasi untuk melanjutkan".

“Ini mengubah tampilan konten, menginisialisasi StartApp SDK lagi dan membuat bilah kemajuan palsu seperti sebelumnya,” kata laporan itu. “Jika iklan diterima, maka itu akan ditampilkan kepada pengguna.”

Penyebaran Malware
Kode yang digunakan untuk menyebarkan bug adalah felavo.class, yang menurut para peneliti melakukan dua fungsi utama: Inisialisasi dan menyebarkan tautan berbahaya melalui teks SMS, yang hanya dikirim ke pelanggan Jio lainnya.

"Pesan umpan yang digunakan untuk menyebarkan aplikasi disimpan dalam bentuk terenkripsi," tulis laporan itu. “Pada fase inisialisasi, layanan mengonfigurasi konteks kriptografi, yang kemudian digunakan untuk mendekripsi pesan umpan.”

Malware tersebut memeriksa daftar kontak korban untuk menemukan nomor terkait Jio lainnya dengan mengambil daftar kontak, mengaturnya, dan membuat daftar yang bersih.

Zscaler mengatakan akan terus memantau pelaku ancaman, tetapi pengguna perlu menyadari ancaman ini ada di luar sana dan mengambil tindakan pencegahan untuk melindungi diri mereka sendiri, tambah Desai.

“Selalu andalkan toko aplikasi tepercaya seperti Google Play saat mengunduh aplikasi apa pun,” sarannya.

“Jangan mengunduh aplikasi dari pesan yang tidak diminta bahkan jika itu datangnya dari kontak tepercaya Anda.” []