Cyberthreat.id - Strain malware Android baru yang disebut CherryBlos telah diamati menggunakan teknik pengenalan karakter optik (optical character recognition-OCR) untuk mengumpulkan data sensitif yang disimpan dalam gambar. Demikian laporan The Hacker News.

Mengutip Trend Micro, The Hacker News menyebutkan bahwa CherryBlos didistribusikan melalui postingan palsu di platform media sosial.  

CherryBlos dilengkapi kemampuan mencuri kredensial terkait dompet mata uang kripto dan bertindak sebagai pemangkas untuk mengganti alamat dompet saat korban menyalin string yang cocok dengan format yang telah ditentukan disalin ke papan klip.

Setelah diinstal, aplikasi meminta izin pengguna untuk memberikannya izin aksesibilitas, yang memungkinkannya untuk secara otomatis memberikan izin tambahan kepada dirinya sendiri sesuai kebutuhan.

Sebagai tindakan penghindaran pertahanan, pengguna yang mencoba mematikan atau mencopot pemasangan aplikasi dengan memasukkan aplikasi Pengaturan akan dialihkan kembali ke layar beranda.

Selain menampilkan hamparan palsu di atas aplikasi dompet kripto yang sah untuk mencuri kredensial dan melakukan transfer dana penipuan ke alamat yang dikendalikan penyerang, CherryBlos menggunakan OCR untuk mengenali frasa mnemonik potensial dari gambar dan foto yang disimpan di perangkat, yang hasilnya diunggah secara berkala ke server jarak jauh.

Keberhasilan kampanye bergantung pada kemungkinan bahwa pengguna cenderung mengambil tangkapan layar frasa pemulihan dompet di perangkat mereka.

Trend Micro mengatakan juga menemukan aplikasi yang dikembangkan oleh pelaku ancaman CherryBlos di Google Play Store tetapi tanpa malware yang tertanam di dalamnya. Aplikasi, bernama Synthnet, telah dihapus oleh Google.

Pelaku ancaman juga tampaknya berbagi tumpang tindih dengan rangkaian aktivitas lain yang melibatkan 31 aplikasi penghasil uang scam, yang dijuluki FakeTrade, yang dihosting di pasar aplikasi resmi berdasarkan penggunaan infrastruktur jaringan bersama dan sertifikat aplikasi.

Sebagian besar aplikasi diunggah ke Play Store pada tahun 2021 dan diketahui menargetkan pengguna Android di Malaysia, Vietnam, Indonesia, Filipina, Uganda, dan Meksiko.

“Aplikasi ini mengklaim sebagai platform e-commerce yang menjanjikan peningkatan pendapatan bagi pengguna melalui referensi dan top-up,” kata Trend Micro. "Namun, pengguna tidak akan dapat menarik dana mereka ketika mereka mencoba melakukannya."

Pengungkapan tersebut muncul saat McAfee merinci kampanye phishing SMS terhadap pengguna Android Jepang yang menyamar sebagai perusahaan infrastruktur listrik dan air untuk menginfeksi perangkat dengan malware yang disebut SpyNote. Kampanye berlangsung pada awal Juni 2023.

"Setelah meluncurkan malware, aplikasi membuka layar pengaturan palsu dan meminta pengguna untuk mengaktifkan fitur aksesibilitas," kata peneliti McAfee Yukihiro Okutomi minggu lalu sebagaimana dikutip The Hacker News.

"Dengan mengizinkan layanan aksesibilitas, malware menonaktifkan pengoptimalan baterai sehingga dapat berjalan di latar belakang dan secara otomatis memberikan izin penginstalan sumber tidak dikenal untuk menginstal malware lain tanpa sepengetahuan pengguna."

Tidak mengherankan jika pembuat malware terus mencari pendekatan baru untuk memikat korban dan mencuri data sensitif dalam lanskap ancaman dunia maya yang terus berkembang.

Google, tahun lalu, mulai mengambil langkah-langkah untuk mengekang penyalahgunaan API aksesibilitas oleh aplikasi Android nakal untuk secara diam-diam mengumpulkan informasi dari perangkat yang disusupi dengan memblokir aplikasi yang di-sideload agar tidak menggunakan fitur aksesibilitas sama sekali.

Tapi pencuri dan pemangkas hanyalah salah satu dari banyak jenis malware – seperti spyware dan stalkerware – yang digunakan untuk melacak target dan mengumpulkan informasi yang menarik, menimbulkan ancaman berat terhadap privasi dan keamanan pribadi.

Penelitian baru yang diterbitkan minggu ini menemukan bahwa aplikasi pengawasan bernama SpyHide secara diam-diam mengumpulkan data telepon pribadi dari hampir 60.000 perangkat Android di seluruh dunia setidaknya sejak 2016.

"Beberapa pengguna (operator) memiliki banyak perangkat yang terhubung ke akun mereka, dengan beberapa memiliki sebanyak 30 perangkat yang telah mereka awasi selama beberapa tahun, memata-matai semua orang dalam hidup mereka," kata seorang peneliti keamanan, yang menggunakan nama Maia Arson Crimew.

Oleh karena itu, kata The Hacker News, sangat penting bagi pengguna untuk tetap waspada saat mengunduh aplikasi dari sumber yang tidak diverifikasi, memverifikasi informasi pengembang, dan memeriksa ulasan aplikasi untuk mengurangi potensi risiko.

Fakta bahwa tidak ada yang menghentikan pelaku ancaman untuk membuat akun pengembang palsu di Play Store untuk mendistribusikan malware tidak luput dari perhatian Google.

Awal bulan ini, raksasa mesin pencarian mengumumkan bahwa mereka akan mewajibkan semua akun pengembang baru yang mendaftar sebagai organisasi untuk memberikan nomor D-U-N-S valid yang diberikan oleh Dun & Bradstreet sebelum mengirimkan aplikasi dalam upaya membangun kepercayaan pengguna. Perubahan tersebut mulai berlaku pada 31 Agustus 2023.[]