Cyberthreat.id – Pakar keamanan siber dari Cleafy mengungkapkan bahwa trojan perbankan android bernama Vultur, telah diunduh oleh lebih dari 100.000 pengguna di Google Play.

Dikutip dari Info Security Magazine, peneliti mengatakan, dropper dari trojan ini bersembunyi di balik aplikasi utilitas palsu. Karena izinnya yang relatif terbatas dan jejaknya yang kecil, aplikasi ini muncul sebagai aplikasi yang sah dan dapat menghindari langkah-langkah keamanan Google Play.

“Meskipun sebagian besar trojan perbankan didistribusikan melalui kampanye phishing, pelaku juga menggunakan toko aplikasi resmi untuk mengirimkan malware mereka menggunakan aplikasi dropper, yaitu aplikasi yang dirancang untuk mengunduh malware ke perangkat target,” jelas tim Cleafy.

Menurut laporan terbarunya, Cleafy menjelaskan, salah satu alasan utama di balik pilihan ini adalah menjangkau lebih banyak calon korban dan mengamankan kemungkinan yang lebih besar untuk melakukan penipuan. Selain itu, karena dropper ini bersembunyi di balik aplikasi utilitas dan berasal dari sumber tepercaya, mereka bahkan dapat menyesatkan pengguna yang 'berpengalaman'," tulis Cleafy.

Hal ini menjelaskan mengapa, meskipun gambaran umum tentang penetes ini sudah dijelaskan di artikel terakhir dari Fabric Threat, mereka memutuskan untuk menerbitkan laporan ini dan menganalisis secara rinci bagaimana aplikasi ini berakhir di Play Store dan berusaha melakukan penipuan bank.

Dari sudut pandang teknis, setelah instalasi, penetes menggunakan teknik penghindaran tingkat lanjut, termasuk steganografi, penghapusan file dan pengaburan kode, selain beberapa pemeriksaan sebelum mengunduh malware.

“Setelah trojan perbankan (Vultur) diunduh dan diinstal melalui pembaruan palsu, pelaku ancaman dapat mengamati semua yang terjadi pada perangkat yang terinfeksi dan melakukan penipuan bank melalui serangan pengambilalihan akun,” jelas Cleafy.

Menurut pakar keamanan, kampanye Vultur menunjukkan bagaimana pelaku ancaman terus meningkatkan teknik mereka agar tetap tidak terdeteksi menggunakan teknik penghindaran tingkat lanjut.

Pada saat yang sama, penggunaan toko aplikasi resmi untuk mengirimkan trojan perbankan untuk menjangkau lebih banyak calon korban adalah tren baru yang semakin kuat,” tambah Cleafy. “Kami berharap untuk melihat kampanye droppers perbankan canggih baru di toko resmi dalam beberapa bulan ke depan.

Laporan baru tersebut, mencakup daftar Indikator Kompromi (IoC) untuk infeksi Vultur. Publikasi penulisan teknis datang beberapa hari setelah Malwarebytes merilis data baru yang menunjukkan sekelompok empat aplikasi dengan lebih dari satu juta unduhan terdaftar di Google Play dan terinfeksi malware HiddenAds.