Cyberthreat.id – Peneliti dari tim Intelijen Ancaman Human Satori mengungkapkan bahwa pihaknya telah menemukan 75 aplikasi di Google Play dan sepuluh lainnya di App Store Apple yang telah diunduh sebanyak 13 juta kali, terlibat dalam penipuan iklan.

Dikutip dari Bleeping Computer, selain membanjiri pengguna seluler dengan iklan, baik yang terlihat maupun yang tersembunyi, aplikasi penipuan juga menghasilkan pendapatan dengan meniru aplikasi dan tayangan yang sah.

Meskipun jenis aplikasi ini tidak dianggap sebagai ancaman yang parah, operator mereka dapat menggunakannya untuk aktivitas yang lebih berbahaya. Peneliti dari tim Intelijen Ancaman Satori MANUSIA mengidentifikasi kumpulan aplikasi seluler yang merupakan bagian dari kampanye penipuan iklan baru yang mereka beri nama 'Scylla'.

Para analis percaya Scylla adalah gelombang ketiga dari operasi yang mereka temukan pada Agustus 2019 dan dijuluki 'Poseidon'. Gelombang kedua, tampaknya dari pelaku ancaman yang sama, disebut 'Charybdis' dan mencapai puncaknya menjelang akhir tahun 2020.

Tim peneliti Satori telah memberi tahu Google dan Apple tentang temuan mereka dan aplikasi telah dihapus dari toko resmi Android dan iOS. Pada perangkat Android, kecuali Anda menonaktifkan opsi keamanan Play Protect, aplikasi akan terdeteksi secara otomatis.

Untuk iOS, Apple tidak jelas tentang cara menghapus aplikasi adware yang sudah terpasang di perangkat. Para peneliti merekomendasikan pengguna untuk menghapus aplikasi berbahaya tersebut jika ada di perangkat mereka.

Beberapa aplikasi yang paling banyak diunduh di App Store seperti, Loot the Castle, Run Bridge, Shinnging Gun, Racing Legend 3D, Rope Runner, Wood Scluptor, dll. Sementara untuk aplikasi android, seperti Super Hero-save the world!, Spot 10 Differences, find 5 differences, Dinosaur Legend, Onle Line Drawing, Shoot Master, dll.

Peneliti mengatakan, aplikasi Scylla biasanya menggunakan ID bundel yang tidak cocok dengan nama publikasinya, untuk membuatnya tampak bagi pengiklan seolah-olah klik/tayangan iklan berasal dari kategori perangkat lunak yang lebih menguntungkan.

Peneliti menemukan bahwa 29 aplikasi Scylla meniru hingga 6.000 aplikasi berbasis CTV dan secara teratur menelusuri ID untuk menghindari deteksi penipuan. Di Android, iklan dimuat di jendela WebView tersembunyi, sehingga korban tidak pernah melihat sesuatu yang mencurigakan, karena semuanya terjadi di latar belakang.

Selain itu, adware menggunakan sistem "JobScheduler" untuk memicu peristiwa tayangan iklan saat korban tidak aktif menggunakan perangkat mereka, misalnya saat layar mati. Tanda-tanda penipuan terdaftar di log dan dapat dilihat di tangkapan paket jaringan, tetapi pengguna biasa biasanya tidak memeriksanya.

Dibandingkan dengan 'Poseidon', kampanye pertama untuk operasi ini, aplikasi Scylla mengandalkan lapisan tambahan pengaburan kode menggunakan obfuscator Java Allatori. Ini membuat deteksi dan rekayasa balik lebih sulit bagi para peneliti.

Pengguna harus memantau aplikasi mereka untuk aplikasi berbahaya atau tidak diinginkan dengan mencari beberapa tanda yang biasanya menunjukkan masalah seperti baterai cepat habis dan peningkatan penggunaan data internet, atau aplikasi yang tidak Anda ingat pernah menginstalnya.

Disarankan juga untuk memeriksa daftar aplikasi yang diinstal dan menghapus yang tidak Anda ingat pernah menginstalnya atau berasal dari vendor yang tidak dikenal.