Jakarta, Cyberthreat.id - Ketika Google membatasi izin penggunaan SMS dan Call Log di aplikasi Android yang dipajang Google Play Store pada Maret 2019, aplikasi-aplikasi yang mungkin menyelewengkan izin ini akan kesulitan untuk mencuri kredensial pengguna. Pembatasan ini menghilangkan opsi untuk melewati mekanisme otentikasi 2 faktor atau two-factor authentication (2FA) yang berbasis SMS. Pengguna akan menerima one-time password (OTP) ke handphone Anda melalui SMS saat login atau melakukan transaksi yang dibentengi sistem 2FA.

Sekarang benteng itu ternyata bisa ditembus dengan mengakali pembatasan Google. Medio Juni lalu, para ahli di perusahaan antivirus ESET menemukan aplikasi jahat yang mampu mengakses OTP dalam SMS yang dikirimkan sistem 2FA meski aplikasinya tidak meminta izin SMS (Ketika Anda menginstal aplikasi, biasanya aplikasi akan mencantumkan apa saja fitur handphone yang akan dia akses.). Juga, teknik ini bisa dipakai untuk mendapatkan OTP di email yang mengaktifkan sistem 2FA.

Beberapa aplikasi jahat ini menyaru sebagai aplikasi perdagangan kripto Turki bernama BTCTurk dan diunggah ke Google Play antara 7-13 Juni lalu. Aplikasi ini meminta izin melalui fitur Android: Notification Access, untuk memeriksa notifikasi aplikasi lain dan mengontrolnya. "Izin ini akan membuat aplikasi bisa membaca notifikasi yang ditampilkan aplikasi lain di perangkat, menghilangkan notifikasi itu, atau mengklik tombol yang ada di sana," kata Lukas Stefanko, peneliti malware di ESET seperti dikutip bleepingcomputer.com.

Setelah mendapat izin dari pengguna yang mengklik notifikasi di BTCTurk, malware akan mulai melakukan phishing dengan menampilkan halaman login palsu untuk mencuri kredensial pengguna BTCTurk. Program ini akan membaca notifikasi dari aplikasi lain termasuk SMS dan email untuk menemukan username dan password. Aplikasi ini mengabaikan "setting" pengguna terhadap notifikasi serta bisa menyembunyikan notifikasi aplikasi lain sehingga pengguna tidak menyadari adanya akses tanpa izin di handphone-nya.

Sejauh ini, baru sekitar 50-an orang yang mendownload kedua aplikasi tersebut. Keduanya telah disingkirkan dari Google Play setelah Google mendapat laporan ESET. Namun, kelemahan Android ini seperti bahaya laten. Soalnya, fitur Notification Access ini diperkenalkan sejak Andorid 4.3 (Jelly Bean). Artinya, hampir semua perangkat Android rentan terhadap teknik ini. Stefanko menemukan bahwa dua aplikasi palsu BTCTurk berjalan di Android 5.0 (KitKat) ke atas yang artinya bisa berdampak terhadap 90% pengguna Android.

Jika Anda menemukan aplikasi yang memunculkan panel: "Allow notification access for ..." sebaiknya Anda tidak mengizinkannya jika Anda meragukan kredibilitas aplikasi tersebut.