Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky Lab, menemukan, adanya malware (perangkat lunak jahat) baru di sistem operasi Android.

Malware tersebut sengaja disamarkan sebagai aplikasi dan didesain untuk menonaktifkan Google Play Protect, layanan perlindungan otomatis bawaan Google.

Padahal, baru-baru, Google Play Protect mendeteksi dan menghapus sekitar 1.700 aplikasi yang terinfeksi dengan malware Joker Android (juga dikenal sebagai Bread) dari Play Store sejak perusahaan mulai melacak jenis ini pada awal 2017.

Sekadar diketahui, setiap hari Google Play Protect memindai lebih dari 50 miliar aplikasi di lebih dari dua miliar perangkat," menurut laporan bertajuk Android Security & Privacy 2018 Year In Review yang diterbitkan pada Maret 2019.

Tak hanya itu, peneliti Kaspersky Lab, Igor Golovin, mengatakan, malware baru tersebut dirancang untuk membuat ulasan palsu (fake review) sebuah aplikasi, memasang aplikasi jahat, menampilkan iklan, dan banyak lagi.

Malware yang sangat dikaburkan tersebut dijuluki “Trojan-Dropper.AndroidOS.Shopper.a”.

Dalam bekerja malware ini sangat bergantung pada perintah tuannya, Shopper.a, di antaranya:

• Buka tautan yang diterima dari server jarak jauh dalam jendela yang tidak terlihat (di mana malware memverifikasi bahwa pengguna terhubung ke jaringan seluler)
• Setelah sejumlah layar terbuka, menyembunyikan diri dari menu aplikasi
• Periksa ketersediaan hak Layanan Aksesibilitas dan, jika tidak diberikan, secara berkala mengajukan permintaan phishing kepada pengguna untuk menyediakannya
• Nonaktifkan Google Play Protect
• Buat pintasan ke situs yang diiklankan di menu aplikasi
• Unduh aplikasi dari Apkpure [.] com pihak ketiga dan instal
• Buka aplikasi yang diiklankan di Google Play dan "klik" untuk menginstalnya
• Ganti pintasan ke aplikasi yang diinstal dengan pintasan ke situs yang diiklankan
• Mengunggah ulasan palsu yang seharusnya dari pengguna Google Play.
• Tampilkan iklan ketika layar tidak dikunci
• Daftarkan pengguna melalui akun Google atau Facebook mereka di beberapa aplikasi.

"Penjahat dunia maya menggunakan Trojan-Dropper.AndroidOS.Shopper.a untuk meningkatkan peringkat aplikasi tertentu dan meningkatkan jumlah instalasi dan pendaftaran," tutur Igor demikian seperti dikutip dari BleepingComputer, Sabtu (11 Januari 2020).

"Semuanya itu dipakai, antara lain untuk menipu pengiklan. Terlebih lagi, Trojan dapat menampilkan pesan iklan pada perangkat yang terinfeksi, membuat pintasan ke situs iklan, dan melakukan tindakan lain," ia menambahkan.

Penyerang menggunakan ikon sistem dan nama ConfigAPKs, sangat mirip dengan nama layanan Android sah, yang bertanggung jawab untuk mengonfigurasi aplikasi saat pertama kali perangkat dinyalakan (booting).

Trojan ini tersebar paling banyak di Rusia dengan pengguna yang terinfeksi sekitar 28,46 persen pada Oktober hingga November 2019, kata Igor.

Di posisi berikutnya, peneliti mencatat para korban tersebar di Brasil sebanyak 18,7 persen dan India sekitar 14,23 persen.

Skema malware

Setelah menginfeksi perangkat Android korban, malware  ini mengunduh dan mendekripsi muatan. Dari situ, malware langsung bekerja memanen informasi dari perangkat, seperti lokasi perangkat, jenis jaringan, vendor, model ponsel cerdas, alamat email, IMEI, dan IMSI.

“Semua data tersebut kemudian disaring ke server operator,” kata Igor.

Selanjutnya, penyerang mengirim kembali serangkaian perintah untuk dijalankan pada ponsel cerdas atau tablet yang terinfeksi.

Serangakan perintah tadi adalah membuat ulasan atau mempromosikan aplikasi palsu berbahaya tadi di Google Play Store. Juga, menginstal aplikasi lain dari Play Store atau toko aplikasi pihak ketiga dengan tidak terlihat.

Itu semua dilakukan dengan menyalahgunakan Layanan Aksesibilitas (Accessibility Service), sebuah taktik yang digunakan oleh malware Android untuk melakukan berbagai kegiatan berbahaya tanpa memerlukan interaksi pengguna.

“Jika tidak memiliki izin untuk mengakses layanan, Trojan akan menggunakan phishing untuk mendapatkannya dari pemilik perangkat yang dikompromikan,” menurut peneliti.

Yang lebih hebat lagi, kata Igor, Trojan ini memiliki kemungkinan yang hampir tak terbatas untuk berinteraksi dengan antarmuka sistem dan aplikasi.

Misalnya, si malware itu dapat mencegat data yang ditampilkan di layar, mengklik tombol, dan meniru gerakan pengguna.[]