Cyberthreat.id – Sekitar 538.000 perangkat seluler Android Huawei terinfeksi malware “Joker”. Akibat infeksi itu, perangkat secara diam-diam berlangganan aplikasi premium, demikian temuan Dr. Web.

Perusahaan antivirus asal Rusia itu mengatakan, perangkat Android yang terinfeksi itu bermula dari mengunduh aplikasi yang mengandung Joker dari AppGallery, toko aplikasi Android milik Huawei.

Ada sepuluh aplikasi dari tiga pengembang yang terinfeksi Joker. Ke-10 aplikasi itu kelihatannya memang tampak yang sah dengan fungsi keyboard virtual, aplikasi kamera, peluncur aplikasi, instant messenger, koleksi stiker, program pewarnaan, dan game.

Namun, aplikasi-aplikasi tersebut menyembunyikan kode berbahaya yang dioperasikan di belakang layar untuk membuka jendela browser dan membuat pengguna berlangganan aplikasi premium, yang memungkinkan operator malware mendapatkan untung.

Selain itu, malware juga mampu mencegat pesan SMS dan notifikasi sehingga mencegah pengguna mengenali Joker di perangkat.

Dr. Web, telah memberitahukan hal tersebut kepada Huawei. Perusahaan teknologi terkemuka China itu langsung menangani trojan-trojan di toko aplikasinya meski tidak menghapus aplikasi tersebut di perangkat pengguna yang sudah telanjur mengunduhnya.

Pemilik ponsel Huawei yang ingin menghapus aplikasi harus masuk ke bagian aplikasi sistem operasi mereka dan mencari salah satu dari sepuluh nama aplikasi di bawah ini.

Berikut ke10 aplikasi di AppGallery yang mengandung Joker:

• Super Keyboard (com.nova.superkeyboard)
• Warna Bahagia (com.colour.syuhgbvcff)
• Warna Menyenangkan (com.funcolor.toucheffects)
• Keyboard 2021 Baru (com.newyear.onekeyboard)
• Camera MX - Kamera Video Foto (com.sdkfj.uhbnji.dsfeff)
• Kamera BeautyPlus (com.beautyplus.excetwa.camera)
• Color RollingIcon (com.hwcolor.jinbao.rollingicon)
• Emoji Meme Funney (com.meme.rouijhhkl)
• Happy Tapping (com.tap.tap.duedd)
• Messenger Lengkap (com.messenger.sjdoifo)

Pengguna juga disarankan untuk memberitahu operator seluler mereka tentang biaya tambahan yang tidak diinginkan pada tagihan bulan berikutnya.

Juru bicara Huawei mengatakan, pihaknya akan melakukan investigasi tambahan untuk meminimalkan risiko munculnya aplikasi semacam itu di masa mendatang. 

Aplikasi yang sama tersedia di Google PlayStore

Tak hanya di toko aplikasi Huawei, Dr.Web juga sempat menemukan aplikasi serupa di Google Play Store. Namun, berdasarkan penelusuran sepintas yang dilakukan oleh The Record, aplikasi – aplikasi tersebut telah dihapus dari Google Play Store.

Joker pertama kali ditemukan pada 2017 dan seringkali menginfeksi beberapa aplikasi di Google Play Store. Modul yang sama digunakan oleh beberapa versi Android.Joker lainnya, yang disebarkan di antaranya aplikasi Shape Your Body Magical Pro, PIX Photo Motion Maker.

Misal, pada Oktober 2019, Tatyana Shishkova, analis malware Android di Kaspersky, mengungkapkan ada sekitar 70 aplikasi yang disusupi yang berhasil masuk ke Google Play Store. Lalu, awal 2020, Google mengumumkan bahwa sejak 2017 telah menghapus sekitar 1.700 aplikasi yang terinfeksi Joker. Setelah pengumuman itu, pada Februari 2020, Joker ternyata menyerang aplikasi lagi di Google PlayStore dan terus melewati pertahanan Google hingga pertengahan lalu.

Bagaimana Joker bekerja?

Dr. Web menjelaskan, Android.Joker merupakan salah satu ancaman multi-komponen yang mampu menjalankan berbagai tugas tergantung pada kebutuhan penyerang.

Setelah malware diluncurkan, pengguna akan berinteraksi dengan aplikasi lengkap. Namun, di balik aplikasi tersebut, trojan terhubung ke server C&C milik peretas untuk menerima konfigurasi yang diperlukan dan mengunduh salah satu komponen tambahan. Komponen yang diunduh ini berperan untuk berlangganan aplikasi premium secara otomatis.

Selain itu, aplikasi itu akan meminta akses ke notifikasi yang dipakai untuk mencegat SMS yang masuk dari layanan premium, berupa kode konfirmasi langganan.

Selanjutnya, mengikuti batas langganan yang ditentukan, trojan akan mencoba mengaktifkan layanan berbayar yang tercantum dalam perintah. Agar langganan berhasil, perangkat yang terinfeksi harus terhubung ke internet seluler. Android.Joker.242.origin memeriksa koneksi terkini dan jika mendeteksi koneksi wi-fi aktif, trojan mencoba untuk memutuskannya.

Untuk setiap tugas, modul berbahaya membuat WebView yang tidak dapat ditampilkan, secara berurutan memuat alamat situs web layanan berbayar. Trojan kemudian memuat JavaScript. Ini menggunakannya untuk mengklik tombol yang terdapat dalam formulir web dari situs web yang ditargetkan, secara otomatis menggantikan nomor telepon korban dan PIN dengan kode konfirmasi, dicegat oleh modul dasar Android.Joker.531.[]

Sumber: Dr Web | The Record | BleepingComputer | Redaktur: Andi Nugroho