Tokyo, Cyberthreat.id - Meningkatnya penggunaan smartphone dan aplikasi mobile sebagai alat pembayaran membuat penjahat siber semakin getol menjadikan bank dan institusi keuangan sebagai sasaran. Malware Android yang bernama Anubis sebelumnya digunakan untuk spionase siber kini diubah sebagai malware perbankan. Anubis tidak lagi sekadar alat mencuri informasi namun juga bertugas sebagai pemeras ala ransomware. Tony Bao, analis ancaman mobile dari Trend Micro, menyatakan di situs Trend Micro Labs pada 8 Juli, bahwa Anubis telah dipersiapkan untuk menyerang 188 bank dan institusi keuangan yang sebagian besar berada di Polandia, Australia, Turki, Jerman, Prancis, Italia, Spanyol, Amerika Serikat, dan India.

Sampel yang dianalisis Trend Micro (dideteksi sebagai AndroidOS_AnubisDropper) diketahui terkait dengan 2 server yang berisi 17.490 sampel. Analis lain menyatakan bahwa dropper ini adalah BianLian. 

Banyaknya jumlah sampel yang ditemukan mengnjukkan bahwa pembuat dan operator Anubis sangat aktif menggunakan malware ini. Sampel yang berformat .apk (android paket) ini dinamai dengan "Google Services" dan "Operator Update". Nama yang terkesan sahih ini digunakan untuk mengelabui pengguna Android agar menginstall aplikasi ini. Trend Micro menghitung jumlah institusi yang menjadi target di beberapa negara berdasarkan distribusi aplikasi jahat ini secara geografis.

Setelah diinstall, dropper akan mengakses link ke nama domain tertentu untuk mendownload Anubis. BianLian sendiri akan berfungsi penuh sebagai trojan perbankan seusai mengunduh Anubis. Analis dari Fortinet menyatakan bahwa BianLian mampu merekam screen saat pengguna mengetik username dan password. BianLian bisa tetap beraksi tanpa diketahui karena aplikasi yang disusupinya bisa berjalan normal.

Setelah masuk ke aplikasi, Anubis kemudian menghubungi server command and control (C&C) untuk menunggu perintah. Server akan memberi perintah jarak jauh untuk mencuri informasi pengguna dan mengirimkannya ke server C&C. Bisa juga server C&C memerintahkan enkripsi file. Trend Micro menemukan server C&C berkomunikasi sedikitnya dengan 14 nama domain.

Anubis juga mampu membajak aplikasi tertentu saat dijalankan. Ketika mengetahui suatu aplikasi dijalankan, hacker akan menyalahgunakan fitur WebView untuk menampilkan isi aplikasi ke format halaman web. Dengan cara ini, hacker bisa mencuri data keuangan pengguna  atau sebagai cara untuk melakukan phishing. Anubis juga memonitor notifikasi dan mengirimkan informasinya ke server C&C.

Trend Micro menyarankan pengguna Android untuk menggunakan aplikasi yang bisa menghadang malware seperti Anubis. Selain itu, perhatikan izin yang diminta aplikasi. Izin akses internet, read/write external storage, access network state, dan request install packages bisa menjadi cara aplikasi mengunduh malware dari link tertentu. Juga, waspadai izin "Notification access" yang bisa membuat aplikasi ini memonitor notifikasi aplikasi lain.