Cyberthreat.id - Pelaku ancaman memanfaatkan teknik yang disebut versioning untuk menghindari deteksi malware Google Play Store dan menargetkan pengguna Android.

"Kampanye yang menggunakan versi biasanya menargetkan kredensial, data, dan keuangan pengguna," kata Tim Tindakan Keamanan Siber Google (GCAT) dalam Laporan Ancaman Horizons Agustus 2023 yang dibagikan dengan The Hacker News.

Meskipun pembuatan versi bukanlah fenomena baru, ini licik dan sulit dideteksi. Dalam metode ini, pengembang merilis versi awal aplikasi di Play Store yang lolos pemeriksaan prapublikasi Google, tetapi kemudian diperbarui dengan komponen malware.

Ini dicapai dengan mendorong pembaruan dari server yang dikendalikan penyerang untuk menyajikan kode berbahaya pada perangkat pengguna akhir menggunakan metode yang disebut pemuatan kode dinamis (DCL), yang secara efektif mengubah aplikasi menjadi pintu belakang.

Awal Mei lalu, ESET menemukan aplikasi perekaman layar bernama "iRecorder - Perekam Layar" yang tetap tidak berbahaya selama hampir setahun setelah pertama kali diunggah ke Play Store sebelum perubahan jahat diperkenalkan untuk memata-matai penggunanya secara diam-diam.

Contoh malware lain yang menggunakan metode DCL adalah SharkBot, yang berulang kali muncul di Play Store dengan menyamar sebagai aplikasi keamanan dan utilitas.

SharkBot adalah trojan keuangan yang memulai transfer uang tidak sah dari perangkat yang disusupi menggunakan protokol Automated Transfer Service (ATS).

Aplikasi dropper yang muncul di etalase hadir dengan fungsionalitas yang lebih rendah, setelah dipasang oleh korban, mengunduh versi lengkap dari malware dalam upaya untuk menarik lebih sedikit perhatian.

"Dalam lingkungan perusahaan, pembuatan versi menunjukkan perlunya prinsip pertahanan yang mendalam, termasuk namun tidak terbatas pada membatasi sumber penginstalan aplikasi ke sumber tepercaya seperti Google Play atau mengelola perangkat perusahaan melalui platform manajemen perangkat seluler (MDM)," kata perusahaan.

Temuan itu muncul ketika ThreatFabric mengungkapkan bahwa pemasok malware telah mengeksploitasi bug di Android untuk menganggap aplikasi berbahaya sebagai jinak dengan "merusak komponen aplikasi" sehingga aplikasi secara keseluruhan tetap valid, menurut KrebsOnSecurity.

"Aktor dapat memiliki beberapa aplikasi yang dipublikasikan di toko pada saat yang sama di bawah akun pengembang yang berbeda, namun, hanya satu yang bertindak sebagai berbahaya, sementara yang lain adalah cadangan untuk digunakan setelah pencopotan," catat perusahaan keamanan siber Belanda pada bulan Juni.

"Taktik seperti itu membantu aktor mempertahankan kampanye yang sangat panjang, meminimalkan waktu yang dibutuhkan untuk menerbitkan dropper lain dan melanjutkan kampanye distribusi."

Untuk mengurangi potensi risiko apa pun, sebaiknya pengguna Android tetap menggunakan sumber tepercaya untuk mengunduh aplikasi dan mengaktifkan Google Play Protect untuk menerima notifikasi saat aplikasi yang berpotensi berbahaya (PHA) ditemukan di perangkat.[]