Cyberthreat.id – Peneliti keamanan siber MalwareHunterTeam belum lama ini menemukan perubahan dari perangkat lunak jahat Android “Aberebot”.

Abrebot dikenal sebagai trojan (perangata lunak jahat yang berpura-pura sebagai aplikasi resmi) dan bertujuang mencuri informasi akun online korban, seperti perbankan dan lain-lain.

Peneliti menemukan Abrebot kembali denga nama “Escobar”. Fitur baru yang dibawa malware ini yaitu mampu mencuri kode otentikasi multifaktor (MFA) milik Google Authenticator.

Tak sebatas itu, Escobar juga dirancang ntuk merekam audio dan mengambil foto, serta pencurian kredensial lain. Pendek kata, target utama operator dari malware ini ialah mengeru saldo rekening bank milik korban dengan transaksi ilegal secara online.

MalwareHunterTeam pertama kali mendapati APK Escobar pada 3 Maret lalu. “Menyamar sebagai aplikasi McAfee,” tulis MalwareHunterTeam dikutip dari BleepingComputer, diakses Minggu (13 Maret 2022).

Sementara, perusahaan keamanan siber Cyble yang juga menganalisis varian Escobar meyakini bahwa malware telah berada di alam liar pada musim panas 2021, sehingga tampilan versi baru ini memperlihatkan bahwa mereka aktif berkembang.

Temuan BleepingComputer menggunakan platform intelijen siber Darkbeast milik KELA memperlihatkan ada iklan tentang Escobr di sebuah forum peretasan berbahasa Rusia pada Februari lalu. Iklan berisi penawaran pengembang Abrebot dengan nama “Escobar Bot Android Banking Trojan”. Mereka menyewakan versi beta malware seharga US$3.000 per bulan kepada maksimal lima pelanggan dan gratis tiga hari uji coba. Namun, harga menjadi US$5.000 setelah pengembangan selesai.

Bentuk serangan

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login palsu untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya ampuh melawan versi Android apa pun, bahkan jika sembulan halaman palsu (overlay) diblokir dengan cara tertentu.

Pengembang Escobar menargetkan 190 entitas keuangan di  18 negara.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya, aksesibilitas, rekaman audio, membaca SMS, membaca / menulis penyimpanan, mendapatkan daftar akun, menonaktifkan keylock, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke peladen command and control peretas, termasuk log panggilan SMS, log kunci, pemberitahuan, dan kode Google Authenticator.

Secara umum, untuk mencegah dari serangan ini, pengguna harus bisa meminimalkan kemungkinan terinfeksi trojan Android. Caranya: jangan memasang APK (aplikasi) di luar Google Play Store, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat menginstal aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau statistik baterai dan konsumsi jaringan aplikasi selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.[]