Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Doctor Web, menemukan aplikasi jahat di Google Play Store. Perangkat lunak jahat (malware) ini mampu mencuri informasi login, termasuk kata sandi pengguna media sosial, Facebook.

Peneliti menemukan sebanyak 10 aplikasi trojan, tapi hanya sembilan aplikasi yang tersedia di Google Play Store. Setelah temuan itu dilaporkan kepada Google, aplikasi-aplikasi tersebut langsung dihapus dari toko aplikasi.

 “Trojan pencuri (stealer trojan) ini disebarkan sebagai perangkat lunak yang tidak berbahaya dan telah diunduh lebih dari 5,8 juta kali (secara akumulasi),” tulis Dr. Web di blog perusahaan, diakses Selasa (6 Juli 2021).

Selama menganalisis trojan (malware yang berpura-pura sebagai aplikasi sah), peneliti menemukan modifikasi sebelumnya yang disebarkan melalui Google Play dengan kedok perangkat lunak pengedit gambar, EditorPhotoPip yang telah dihapus dari toko aplikasi resmi. Namun, peneliti menemukannya tersedia di situs web agregator perangkat lunak . Modifikasi ini telah ditambahkan ke basis data virus Dr.Web sebagai “Android.PWS.Facebook.15”. (Cek daftar di bawah artikel)

Sementara “Android.PWS.Facebook.13”, “Android.PWS.Facebook.14”, dan “Android.PWS.Facebook.15” adalah aplikasi asli Android, “Android.PWS.Facebook.17” dan “Android.PWS.Facebook.18” menggunakan kerangka kerja Flutter yang dirancang untuk pengembangan lintas platform.

---

Aplikasi trojan temuan Dr. Web.

---

Meskipun demikian, semuanya dapat dianggap sebagai modifikasi dari trojan yang sama karena, “Mereka menggunakan format file konfigurasi yang identik dan skrip JavaScript yang identik untuk mencuri data pengguna,” tutur Dr. Web.

Menurut Dr. Web, aplikasi-aplikasi palsu itu berfungsi penuh sehingga membuat calon korban tak menyadari ancaman yang bakal terjadi. Untuk memastikan bahwa seluruh fungsi aplikasi berjalan, malware tersebut didesain agar calon korban menonaktifkan iklan dalam aplikasi.

Calon korban diminta untuk masuk ke akun Facebook mereka. Iklan di dalam beberapa aplikasi memang ada, dan manuver ini dimaksudkan untuk lebih mendorong pemilik perangkat Android melakukan tindakan yang diminta, tulis Dr. Web.

“Trojan ini menggunakan mekanisme khusus untuk mengelabui korbannya. Setelah menerima pengaturan yang diperlukan dari salah satu server perintah dan kontrol (C&C) saat diluncurkan, malware memuat halaman web Facebook yang sah https://www.facebook.com/login.php ke WebView,” Dr. Web menjelaskan.

Selanjutnya, malware memuat JavaScript yang diterima dari server C&C ke dalam WebView yang sama. Skrip ini langsung digunakan untuk membajak kredensial login yang dimasukkan.

JavaScript tersebut menggunakan metode yang disediakan melalui anotasi JavascriptInterface, meneruskan login dan kata sandi yang dicuri ke aplikasi trojan. Dari sini, trojan kemudian mentransfer data ke server C&C penyerang.

“Setelah korban masuk ke akun mereka, trojan juga mencuri cookies dari sesi otorisasi terakhir. Cookies tersebut juga dikirim ke penjahat dunia maya,” tulis Dr. Web.

---

---

Meski target penyerang itu mencuri kredensial login Facebook, menurut peneliti, mereka juga bisa dengan mudah mengubah setelan trojan dan memerintahkannya untuk membuat halaman web dari layanan lain apa pun yang tampak sah, misal layanan perbankan.

Untuk mencegah dari trojan tu, Dr. Web merekomendasikan pengguna menginstal aplikasi hanya dari pengembang yang dikenal dan tepercaya, serta memperhatikan ulasan pengguna lainnya.

“Ulasan memang tidak dapat memberikan jaminan mutlak bahwa aplikasi tidak berbahaya, tetapi masih dapat mengingatkan Anda tentang potensi ancaman,” tutur perusahaan.

“ Anda juga harus memperhatikan kapan dan aplikasi mana yang meminta Anda untuk masuk ke akun Anda. Jika Anda tidak yakin bahwa apa yang Anda lakukan aman, akan lebih baik bagi Anda untuk tidak melanjutkan lebih jauh dan menghapus program yang mencurigakan,” perusahaan menambahkan.

Berikut ini 9 aplikasi trojan yang ditemukan Dr. Web:

1. Aplikasi edit foto Processing Photo. Terdeteksi oleh perangkat lunak antivirus Dr.Web sebagai “Android.PWS.Facebook.13” dan disebarkan oleh pengembang “chikumburahmilton”. Itu diunduh lebih dari 500.000 kali.
2. Aplikasi yang memungkinkan pembatasan akses untuk menggunakan perangkat lunak lain yang diinstal pada perangkat Android, antara lain: App Lock Keep yang dikembangkan oleh “Sheralaw Rence”, App Lock Manager dari pengembang “Implummet col”, dan Lockit Master dari pengembang “Enali mchicolo”―semua terdeteksi sebagai “Android.PWS.Facebook. 13”. Mereka diunduh setidaknya 50.000 kali.
3. Aplikasi Rubbish Cleaner dari pengembang “SNT.rbcl” untuk mengoptimalkan kinerja perangkat Android. Itu diunduh lebih dari 100.000 kali. Dr.Web mendeteksinya sebagai “Android.PWS.Facebook.13”.
4. Aplikasi astrologi Horoscope Daily dari pengembang “HscopeDaily momo” dan Horoscope Pi yang dikembangkan oleh “Talleyr Shauna”. Terdeteksi sebagai “Android.PWS.Facebook.13”. Yang pertama diunduh lebih dari 100.000 kali dan kedua lebih dari 1.000 kali.
5. Aplikasi kebugaran Inwell Fitness yang terdeteksi sebagai “Android.PWS.Facebook.14” dari pengembang “Reuben Germaine”. Ini memiliki diunduh lebih dari 100.000 kali.
6. Aplikasi pengeditan foto bernama PIP Photo yang disebarkan oleh pengembang “Lillian”. Berbagai versinya terdeteksi sebagai “Android.PWS.Facebook.17” dan “Android.PWS.Facebook.18” . Aplikasi ini sudah diunduh lebih dari 5.000.000 kali.[]