Cyberthreat.id – Perusahaan keamanan siber (cybersecurity) asal Boston, Amerika Serikat, Cybereason,menemukan perangkat lunak jahat (malware) baru yang dapat mencuri informasi kredensial akun online korban.

Malware Android bernama “EventBot” itu diketahui muncul sekitar Maret 2020. EventBot adalah trojan yang dapat mencuri kata sandi perbankan dan kode otentikasi dua faktor (2FA).  

“EventBot menyalahgunakan fitur Aksesibilitas Android untuk mencuri data aplikasi keuangan. Membaca dan mencuri pesan SMS sehingga bisa mendapatkan otentikasi dua faktor (2FA),” demikian tulis Cybereason dikutip dari TechCrunch, pada Kamis (30 April 2020).

EventBot menyamar sebagai aplikasi Android yang sah seperti Adobe Flash atau Microsoft Word dengan menyalahgunakan fitur Aksesibilitas bawaan Android untuk mendapatkan akses yang dalam ke sistem operasi perangkat.

Ketika diinstal oleh korban, aplikasi palsu yang terinfeksi EventBot dengan tenang menyedot kata sandi di 200 aplikasi perbankan dan mata uang kripto, termasuk PayPal, Coinbase, CapitalOne, dan HSBC.

Secara khusus malware baru ini, kata peneliti, menargetkan aplikasi perbankan keuangan di seluruh Amerika Serikat, dan Eropa termasuk Italia, Inggris, Spanyol, Swiss, Prancis, dan Jerman.

Tak hanya menyedot kata sandi, ketika aplikasi yang terinfeksi EventBot diinstal pada ponsel korban, malware akan melakukan intersep atau penyadapan, serta menyedot kode pesan teks 2FA.

Dari situlah, peretas dapat membobol rekening bank, aplikasi dan dompet elektronik, dan mencuri dana korban.

"Pengembang di balik Eventbot ‘menginvestasikan’ banyak waktu dan sumber daya untuk menciptakan kode canggih sangat tinggi ini," kata Assaf Dahan, Kepala Penelitian Ancaman Cybereason.

Selain itu, malware juga secara diam-diam merekam setiap ketikan di papan ketik (keystroke), bahkan hingga dapat membaca notifikasi dari aplikasi lain yang diinstal.

Dahan mengatakan, operasi EventBot masih berlangsung. Selama beberapa pekan sejak penemuannya pada Maret lalu, peneliti melihat malware itu diperbarui setiap beberapa hari untuk memasukkan fitur jahat baru.

Misalnya, skema enkripsi yang digunakan untuk berkomunikasi dengan server peretas.

“EventBot sangat menarik karena masih dalam tahap awal. Malware baru ini memiliki potensi nyata untuk menjadi malware ponsel besar berikutnya, karena terus mengalami perbaikan berulang, menyalahgunakan fitur sistem operasi kritis, dan menargetkan aplikasi keuangan,” tulis dia.

Akan tetapi, kata dia, tim peneliti masih bingung siapa aktor di belakang kampanye EventBot karena malware itu terbilang baru.

"Sejauh ini, kami belum mengamati kasus copy-paste atau penggunaan kembali kode dari malware lain dan tampaknya telah ditulis dari awal," kata Dahan.

Kabar baiknya, Cybereason mengatakan belum melihat EventBot di toko aplikasi Android resmi. Kemungkinan malware akan muncul di toko aplikasi pihak ketiga yang “jahat”, meski tak menuntup kemungkinan peretas mencoba menyelundupkannya ke Google Play Store, toko aplikasi resmi Android.

Untuk itu, Dahan menyarankan kepada pengguna harus menghindari aplikasi yang tidak terpercaya dari situs dan toko pihak ketiga.

Malware Android bukanlah hal baru, tetapi sedang meningkat. Peretas dan operator malware semakin menargetkan pengguna ponsel karena terdapat aplikasi perbankan, media sosial, dan layanan sensitif lainnya di perangkat korban.[]

Redaktur: Andi Nugroho