Cyberthreat.id – Operator perangkat lunak jahat (malware) perbankan, TrickBot, tampaknya “tak pernah berhenti untuk berinovasi” di dunia kejahatan siber. Mereka terus memperbarui senjata siber mereka.

Terbaru, mereka mengembangkan sebuah aplikasi Android yang dapat menerobos kunci dua langkah autentikasi (2FA) yang biasa diterapkan di aplikasi perbankan.

Aplikasi Android tersebut, yang oleh peneliti keamanan siber IBM dijuluki TrickMo, mampu mencegat sandi sekali pakai (OTP)—kode yang biasa dikirimkan bank kepada pengguna via SMS.

Menurut peneliti, TrickMo didesain untuk mengumpulkan dan mengirimkan kode kunci itu ke server backend operator TrickBot. Selanjutnya, penjahat bisa masuk ke akun korban, tulis ZDNet, Selasa (24 Maret 2020).

Menurut laporan IBM yang diterbitkan kemarin, hanya pengguna yang sebelumnya terinfeksi TrickBot versi desktop (Windows) yang terkena serangan tersebut.

Selain itu, TrickMo tidak digunakan secara luas, tapi hanya ditujukan kepada pengguna Jerman. Negara tersebut juga, menurut peneliti, selalu sebagai tempat pengujian untuk fitur-fitur baru TrickBot.

TrickMo pertama kali terlihat pada September 2019, ketika pertama kali ditemukan oleh tim CERT Jerman.

Distribusi malware TrickMo bergantung pada fitur "web inject" TrickBot–kemampuan untuk menyuntikkan konten di dalam browser web pengguna yang terinfeksi.

Cara infeksi TrickMo

Menurut IBM, ketika TrickBot mendeteksi pengguna sedang mengakses portal web bank-bank tertentu, malware menciptakan halaman web, yang dipakai untuk membujuk pengguna mengunduh dan menginstal aplikasi keamanan yang bisa "melindungi akun mereka”.

Namun, itu hanya langkah penyamaran. Aplikasi menyamar sebagai antivirus seluler Avast yang berisi malware TrickMo di dalam kode sumbernya.

Setelah pengguna menginstal Avast palsu, aplikasi meminta korban untuk mengakses layanan aksesibilitas. Ini langkah penting karena layanan aksesibilitas Android adalah salah satu fitur sistem operasi seluler yang paling kuat.

TrickMo menyalahgunakan layanan aksesibilitas dan menggunakannya untuk berinteraksi dengan perangkat Android korban tanpa izin pengguna.

Dengan cara itulah, TrickMo menjadikan dirinya sebagai aplikasi SMS default, sehingga memungkinkan mencegat pesan SMS apa pun di perangkat, termasuk kode OTP.

Jika bank meningkatkan sistemnya agar tidak menggunakan kode OTP berbasis SMS, TrickMo juga dapat mencegat kode OTP yang dikirim sebagai notifikasi push di ponsel.

OTP berbasis push, disebut pushTAN (transaction authorization number), adalah kode satu kali yang dikirim ke aplikasi bank yang berjalan di perangkat pemilik akun.

Karena itu tidak bisa mengekstrak kode dari aplikasi lain, TrickMo menggunakan layanan aksesibilitas untuk merekam layar aplikasi dan mengirim rekaman kembali ke backend operator. Penjahat kemudian mengekstrak kode OTP itu ketika mereka membutuhkannya untuk mem-bypass login dan otorisasi transaksi.

Fitur TrickMo
Menurut Pavel Asinovsky, peneliti malware untuk tim keamanan IBM X-Force, TrickMo memiliki lebih banyak fitur lain selain kemampuan pengumpulan OTP.

Misalnya, mengumpulkan detail tentang perangkat sebagai "sidik jari”. “Sidik jari” ini akan memainkan peran utama, karena geng TrickBot akan mereproduksi “sidik jari” seluler masing-masing pengguna untuk melakukan transaksi penipuan, yaitu memberikan kesan pada bank bahwa operasi mereka berasal dari perangkat sah pengguna.

Lebih lanjut, TrickMo juga dilengkapi dengan kemampuan "penguncian layar". Namun, ini tidak digunakan untuk keperluan ransomware. TrickMo menggunakan pesan layar penuh pembaruan Android palsu untuk menyamarkan semua operasi pencurian OTP-nya.

Malware itu juga dilengkapi dengan fungsi penghancuran diri setelah mereka mengosongkan akun dan ingin menghapus bukti keberadaan mereka di perangkat.

Nama TrickMo diambil IBM mengacu langsung ke ZitMo, aplikasi Android yang dikembangkan oleh geng malware Zeus (menyerang PC Windows) pada 2011, yang juga memiliki fitur mirip yaitu untuk mem-bypass 2FA yang melindungi akun bank. Keberadaan TrickMo menunjukkan bahwa geng TrickBot terus berinvestasi dalam penipuan perbankan, tulis ZDNet.[]