Cyberthreat.id - Pandemi Coronavirus (Covid-19) telah dimanfaatkan threat actor dengan menyebarkan aplikasi terkait utilitas Covid-19 namun disertai muatan dan fungsi malicious. Salah satunya ditemukan melalui aplikasi mobile CoronaVirus Tracker yang diunduh melalui domain coronavirusapp[.]site

Aplikasi Corona Virus Tracker berfungsi sebagai aplikasi tracking area yang terdampak Covid-19. Ketika telah di-install, aplikasi akan meminta permission antara lain yaitu lockscreen dan ignore battery optimization.

Ignore Battery Optimization digunakan sebagai metode persistence dengan mengabaikan kondisi baterai yang lemah untuk mematikan aplikasi. Sedangkan Permission lockscreen digunakan threat actor untuk mengenkripsi perangkat korban. Itu terjadi ketika aplikasi telah berhasil di instal.

Aplikasi Corona Tracker termasuk ke dalam mobile ransomware dengan kunci offline. Kunci dekripsi dapat ditemukan di dalam baris kode aplikasi (hard encoded) yaitu 4865083501.

Badan Siber dan Sandi Negara (BSSN) dalam imbauan keamanan terkait malware Covidlock yang termuat di dalam aplikasi Coronavirus Tracker menyatakan, domain situs coronavirusapp[.]site adalah sebuah situs yang awalnya berisi data mengenai penyebaran virus Corona dimana datanya diambil langsung dari infection2020[.]com (website dari developer independen untuk melacak berita COVID-19 yang berbasis di AS).

Halaman utama dari website coronavirusapp[.]site dapat dilihat pada gambar di bawah ini dan spanduk kecil di bagian atas website bertujuan untuk yang mendorong orang yang melihat untuk memasangkan aplikasi mobile dari website ini agar pembaruan data lebih realtime.

Halaman utama aplikasi coronavirusapp[.]site

Kemudian jika dilihat dari informasi domain yang didapatkan, domain situs coronavirusapp[.]site awalnya terdaftar pada 8 Maret 2020 menggunakan pengaturan privasi domain untuk mengaburkan detail dari identitas pendaftar.

Situs ini di-hosting oleh Wrathost, sebuah penyedia hosting dengan biaya murah. Sehingga domain tersebut berada pada range alamat IP dengan lebih dari 100 domain lain yang tidak terkait. Namun dilihat lihat sertifikat SSLnya, situs ini menggunakan sertifikat SSL dari Let’s Encrypt.

Ketika dilihat pada Let’s Encrypt SSL, didapatkan bahwa domain ini juga berhubungan dengan satu domain lain yang juga meng-hosting aplikasi Android berbahaya, yaitu coronavirusapp[.]dating4sex [.]us.

Nama aplikasi mobile yang dapat diunduh dari website ini adalah “Coronavirus_Tracker.apk“. Aplikasi ini merupakan aplikasi yang ditujukan kepada pengguna mobile Android. Aplikasi Android tersebut kemudian dilakukan analisis Statik dan Dinamik untuk mengetahui karakteristik dan jenis malware yang disisipkan pada Aplikasi tersebut.

Dari hasil statik analisis disimpulkan bahwa aplikasi ini merupakan malware yang tergolong pada mobile Ransomware. Ketika aplikasi ini dijalankan, maka aplikasi akan meminta izin untuk mengontrol perangkat dan kemudian mengenkripsi perangkat.

Kemudian penyerang akan meminta pengguna untuk membayar kepada penyerang. Dengan demikian, pengguna baru akan mendapatkan kode untuk mendekripsi perangkatnya.

Analisis Dinamik

Ketika akan dilakukan instalasi, dari aplikasi ini diberitahukan bahwa ketika aplikasi berhasil menjadi administrator, maka aplikasi ini dapat mengunci layar dan melakukan enkripsi pada penyimpanan.

Halaman utama aplikasi CoronaVirus Tracker

Dari hasil analisis statik maupun dinamik dapat disimpulkan bahwa aplikasi Coronavirus Tracker ini adalah malware yang tergolong pada Ransomware.

Ini dibuktikan dengan adanya percobaan aplikasi untuk melakukan priviledge escalation yang kemudian melakukan lock/enkripsi pada perangkat. Sampai saat ini malware ini dinamakan CovidLock.

Rekomendasi BSSN

Untuk mencegah maupun mengatasi terinfeksi dari mobile malware CovidLock dapat dilakukan beberapa hal sebagai berikut:

1. Hindari mengunjungi situs yang tidak diketahui reputasinya serta selalu waspada untuk tidak mengklik tautan dari sumber yang tidak dapat diverifikasi kebenarannya.

2. Pastikan hanya menginstall aplikasi android yang sudah terverifikasi (melalui PlayStore) dan perhatikan track record dari pengembang sebelum melakukan instalasi aplikasi.

3. Pastikan perangkat mobile anda dilengkapi dengan antivirus dengan definisi yang termutakhir (up-to-date).

4. Periksa terlebih dahulu mengenai keabsahan aplikasi mobile yang akan diinstalasi ke perangkat anda, pastikan sudah di scan dengan AntiVirus atau sudah diperiksa pada database malware (misal VirusTotal) untuk dicek signature-nya.

5. Memperhatikan permission yang akan diinstall. Pastikan permission sesuai dengan fungsi Aplikasi tersebut.