
Ilustrasi. Foto: Ars Technica.com
Ilustrasi. Foto: Ars Technica.com
Cyberthreat.id – McAfee Labs, bagan dari perusahaan perangkat lunak antivirus McAfee, menemukan pustaka perangkat lunak (software library) jahat yang mengumpulkan daftar aplikasi terinstal, riwayat informasi perangkat Wi-Fi dan Bluetooth, bahkan termasuk lokasi GPS terdekat dari perangkat pengguna.
Tim Riset Seluler McAfee menamai pustaka perangkat lunak—kode pemrograman untuk mengembangkan program atau aplikasi—dengan sebutan "Goldson".
Perilaku Goldson tak hanya di situ, tapi juga dipersenjatai dengan kemampuan untuk penipuan iklan (fraud advertisement) dengan klik iklan di latar belakang (background) tanpa izin pengguna.
"Tim peneliti menemukan lebih dari 60 aplikasi yang berisi pustaka jahat pihak ketiga ini," McAfee di blog perusahaan, 12 April lalu.
Dari jumlah aplikasi itu, total pengguna yang telah mengunduh lebih dari 100 juta di toko aplikasi Google Play Store dan One Store di Korea Selatan.
Pustaka malware itu merupakan bagian dari pustaka pihak ketiga yang secara tak sadar ditambahkan oleh pengembang ke aplikasi resmi mereka.
"Meski pustaka jahat itu dibuat pihak ketiga atau orang lain, bukan pengembang aplikasi itu sendiri, risiko bagi penginstal aplikasi tetap ada," tulis McAfee.
Peranti McAfee Mobile Security mendeteksi ancaman tersebut sebagai "Android/ Goldoson" yang menargetkan pengguna ponsel Android. Setelah mendapat laporan aplikasi yang terinfeksi tersebut di toko aplikasinya, Google langsung mengambil tindakan dengan memberitahu kepada pengembang aplikasi.
Sejumlah aplikasi sudah dihapus dari Google Play Store, tapi yang lain diperbarui oleh pengembang resminya. Oleh karenanya, McAfee mendesak agar pengguna aplikasi yang terkena dampak segera meng-update aplikasi.
Berikut ini di antara aplikasi yang terkena dampak:
Menurut peneliti, pustaka Goldson mendaftar perangkat dan mendapatkan konfigursi secara jarak jauh pada saat yang sama saat aplikasi berjalan. Nama pustaka dan domain server jarak jauh bervariasi untuk setiap aplikasi dan disamarkan. Nama "Gold o son" diambil dari nama domain pertama yang ditemukan.
Konfigurasi tadi berisi parameter yang mengatur fungsi pencurian data dan klik iklan mana yang harus dijalankan Goldoson pada perangkat yang terinfeksi.
Fungsi pengumpulan data biasanya diatur untuk aktif setiap dua hari, mengirimkan daftar aplikasi terinstal ke server peretas, riwayat lokasi geografis, alamat MAC perangkat yang terhubung melalui Bluetooth dan WiFi, dan lain-lain.
Tingkat pengumpulan data bergantung pada izin yang diberikan pengguna kepada aplikasi yang terinfeksi selama penginstalan dan versi Android.
Pada versi Android 11 dan yang lebih baru terlindungi dengan lebih baik dari pengumpulan data semena-mena; tapi, McAfee menemukan di versi OS terbaru, Goldoson memiliki izin yang cukup untuk mengumpulkan data sensitif di 10 persen aplikasi.
Fungsi klik iklan terjadi dengan memuat kode HTML dan menyuntikkannya ke WebView yang disesuaikan dan tersembunyi, lalu menggunakannya untuk melakukan beberapa kunjungan URL, menghasilkan pendapatan iklan.
Korban tidak melihat indikasi aktivitas ini di perangkat mereka, tulis BleepingComputer.
McAfee adalah anggota Google App Defense Alliance yang membantu menjaga Google Play tetap bersih dari ancaman malware/adware.
Google mengonfirmasi bahwa tindakan aplikasi tersebut melanggar kebijakan Google Play.
"Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai," kata Google.
"Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai."
Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan masih terdapat aplikasi yang mengandung pustaka malware tersebut.
Tanda-tanda umum infeksi adware dan malware, di antaranya ponsel menjadi lebih panas, baterai cepat habis, dan penggunaan data internet yang sangat tinggi, bahkan saat perangkat tidak digunakan.[]
Share: