Cyberthreat.id – Upstream Security, perusahaan keamanan siber asal Israel, menemukan perangkat lunak jahat (malware) prainstal di ponsel murah buatan China.

Malware tersebut secara diam-diam mendaftarkan ponsel pengguna ke layanan berlangganan tanpa izin.

Di blog perusahaan, diakses Rabu (26 Agustus 2020), Upstream memperkirakan, malware tersebut telah terpasang di ribuan ponsel di 14 negara. Peneliti mencatat kurang lebih 200.000 perangkat unik terkena imbas malware.

Peneliti mendeteksi malware tersebut menggunakan platform anti penipuan buatan Upstream, Secure-D.

Secure-D mencatat dan telah memblokir sejumlah besar transaksi yang tidak biasa berasal dari perangkat milik Transsion, Tecno W2, terutama di Ethiopia, Kamerun, Mesir, Ghana, dan Afrika Selatan.

“Tercatat ada 19,2 juta transaksi mencurigakan secara diam-diam mendaftarkan pengguna ke layanan berlangganan tanpa izin,” tulis Upstream.

Peneliti mengatakan malware tersebut bernama “xHelper/Triada”. Malware ini telah diinstal sebelumnya pada 53.000 ponsel pintar Tecno W2.

“Ancaman khusus ini memanfaatkan mereka yang paling rentan. Faktanya, malware terinstal lebih dulu pada handset yang dibeli dalam jumlah jutaan oleh rumah tangga berpenghasilan rendah,” ujar Kepala Secure-D Upstream, Geoffrey Cleaves.

Siapa Transsions?

Perusahaan ini berlokasi di Shenzhen, China. Transsion Holdings termasuk salah satu produsen terkemuka di China, menjual 124 juta ponsel secara global pada 2018, tulis Upstream.

Ponsel buatannya lazim populer di negara-negara berkembang, terutama di Afrika. Menurut Upstream, jika digabung dengan merek Infinix dan Itel, mereka menguasai 40,6 persen pasar ponsel pintar Afrika. Transsion juga tak sedikit dijual di negara-negara Asia.

Triada=pintu belakang

Menurut Upstream, malware Triada bertindak sebagai perangkat lunak “pintu belakang” (backdoor) dan pengunduh malware.

Malware menginstal trojan (agar tampak menyerupai aplikasi sah) yang dikenal sebagai “xHelper” ke ponsel pintar yang disusupi.

“Trojan ini tetap ada meski di-reboot, aplikasi dihapus, bahkan ketika pengguna melakukan reset pabrik,” tulis Upstream.

Oleh karenanya, malware tersebut dianggap sangat sulit ditangani, tak terkecuali oleh pakar keamanan siber berpengalaman.

Investigasi Secure-D mendeteksi dan memblokir hampir 800.000 xHelper permintaan mencurigakan dari perangkat Tecno W2.

Peneliti mengatakan, sulit mendeteksi tanda-tanda Triada yang mempengaruhi model ponsel lain yang dibuat oleh Transsion.

Pada Juni lalu, seperti dikutip dari Forbes, Google membenarkan bahwa ada malware yang telah menyusup ke sistem Android dengan memasang “backdoor” sebagai bagian dari serangan rantai pasokan.

Malware itu bernama: Triada. Temuan itu hasil riset peneliti keamanan siber dari Dr.Web. Trojan itu diyakini sangat berbahaya.

Penjahat siber diperkirakan telah mendistribusikan malware itu pada 2016. Ketika pertama kali ditemukan, tulis Forbes, peneliti menyebut Triada sebagai malware yang memiliki tingkatan “serumit malware Windows” dan “ancaman paling canggih terhadap ponsel saat ini”

Peneliti mensinyalir penyebaran Triada bermula dari jaringan iklan jahat, setelah itu menyusup ke ponsel. Sejauh temuan Dr. Web setidaknya 42 model ponsel telah terpasang Triada—kebanyakan ponsel itu dijual di China.

Seberapa bahayakah?

“Triada adalah malware jahat yang serius,” tulis Forbes.

Malware itu mengubur dirinya di dalam inti sistem Adroid dan beroperasi terutama dalam memori. Karena itulah, Triada sulit dideteksi dan dihilangkan. Selain itu, Triada seperti berkembang biak, bisa mengunduh komponen tambahan untuk melakukan tindakan jahat lain yang dikendalikan penjahat siber.

“Seperti mencuri data dari aplikasi, memata-matai pesan SMS, atau membajak penelusuran web dan pencarian,” tulis Forbes.

Sebelum temuan Dr.Web, sebetulnya Kaspersky Lab lebih dulu menemukan Trojan itu pada Maret 2016 dan mereka yang menjuluki: Triada. Triada kemudian baru populer pada 2017.[]