Cyberthreat.id - Peneliti keamanan siber dari Zscaler baru-baru ini menemukan aplikasi palsu yang menyaru sebagai TikTok Pro. Faktanya, aplikasi itu berisi malware yang dapat memata-matai pengguna dan mencuri password Facebook mereka.

Dilansir dari Threat Post, peneliti menemukan aplikasi jahat itu dapat mengambil alih fungsi perangkat dasar — ​​seperti mengambil foto, membaca dan mengirim pesan SMS, melakukan panggilan dan meluncurkan aplikasi — serta menggunakan taktik phishing untuk mencuri kredensial Facebook korban.

"Aplikasi jahat bernama TikTok Pro sedang dipromosikan oleh pelaku ancaman menggunakan varian kampanye yang sudah beredar, yang mendesak pengguna melalui SMS dan pesan WhatsApp untuk mengunduh versi terbaru TikTok dari alamat web tertentu," kata peneliti keamanan senior Zscaler Shivang Desai, dalam laporan yang diterbitkan Selasa pekan ini.

Diduga, aplikasi itu muncul memanfaatkan momentum rencana pemerintah Amerika memblokir TikTok.

“Pengguna yang ingin menggunakan aplikasi TikTok di tengah-tengah larangan tersebut mungkin mencari metode alternatif untuk mengunduh aplikasi tersebut,” tulis Desai dalam laporannya. “Dengan melakukan itu, pengguna bisa keliru memasang aplikasi berbahaya, seperti spyware ini."

SMS untuk mengunduh aplikasi palsu serupa tapi tak sama pernah beredar di India pada Juli lalu. Meski pun sama-sama menggunakan embel-embel "TikTok Pro", pada versi yang beredar di India itu, pengguna yang mengunduh aplikasi dibombardir dengan iklan.  

Sementara dalam versi terbaru ini, aplikasi itu benar-benar dibekali kemampuan "spyware lengkap dengan fitur premium untuk memata-matai korban dengan mudah," tulis Desai.

Setelah dipasang dan dibuka, spyware "Tik Tok Pro" yang baru meluncurkan pemberitahuan palsu yang kemudian menghilang bersama dengan ikon aplikasi.

"Taktik notifikasi palsu ini digunakan untuk mengarahkan perhatian pengguna, sementara aplikasi menyembunyikan dirinya sendiri, membuat pengguna yakin bahwa aplikasi tersebut gagal diinstal. Faktanya, aplikasi itu telah bekerja di latar belakang," katanya dalam laporannya.

Malware ini juga memiliki kemampuan anti-deteksi lain yang memiliki muatan tambahan yang disimpan di bawah direktori /res/raw/, "teknik umum yang digunakan oleh pengembang malware untuk menggabungkan muatan utama di dalam paket Android," tulis Desai.

Kemampuan eksekusi utama spyware itu berasal dari layanan Android bernama MainService, yang bertindak sebagai "otak" dari spyware dan mengontrol fungsinya— "mulai dari mencuri data korban hingga menghapusnya," tulis Desai.

TikTok Pro Palsu Bisa Mencuri Kredensial Facebook

Selain memiliki kemampuan untuk mengambil alih fungsi umum ponsel cerdas — seperti mengambil foto, mengirim pesan SMS, menjalankan perintah, menangkap tangkapan layar, memanggil nomor telepon, dan meluncurkan aplikasi lain di perangkat — spyware juga memiliki fitur unik yang digunakannya untuk mencuri Kredensial Facebook.

Mirip dengan kampanye phishing, “Tik Tok Pro” meluncurkan halaman login Facebook palsu yang, segera setelah korban mencoba masuk, menyimpan kredensial korban di /storage/0/DCIM/.fdat. Perintah tambahan, IODBSSUEEZ, kemudian mengirimkan kredensial yang dicuri ke server perintah dan kontrol (C2C) malware.

Desai mencatat bahwa jenis taktik phishing ini dapat diperluas untuk mencuri kredensial pengguna penting lainnya, seperti rekening bank atau data masuk keuangan, meskipun jenis aktivitas ini tidak terlihat dalam kasus yang diamati.

Selain itu, spyware baru ini memiliki banyak fungsi yang mirip dengan versi lain yang lebih terkenal dari jenis malware ini, seperti Spynote dan Spymax.

“Yang berarti ini bisa menjadi versi terbaru dari pembuat Trojan ini, yang memungkinkan siapa saja, bahkan dengan pengetahuan terbatas, untuk mengembangkan spyware lengkap, ”kata Desai.

Namun, kemampuan mencuri kredensial Facebook unik untuk "Tik Tok Pro" dan bukan sesuatu yang telah diamati sebelumnya dengan aplikasi spyware ini, katanya.

Desai megingatkan pengguna Android untuk tidak mempercayai tautan tak dikenal yang diterima dalam SMS atau pesan lain dan hanya memasang aplikasi dari toko resmi seperti Google Play untuk menghindari menjadi korban kampanye spyware baru.

Taktik mitigasi lainnya adalah dengan tetap menonaktifkan opsi "Sumber Tidak Dikenal" di perangkat Android, yang tidak akan membiarkan perangkat menginstal aplikasi dari sumber yang tidak dikenal, tambahnya.

Untuk memeriksa untuk melihat apakah spyware baru berjalan tanpa terdeteksi di perangkat Android, pengguna dapat mencari aplikasi di pengaturan perangkat dengan membuka Pengaturan -> Aplikasi -> Cari ikon yang tersembunyi dan cari “TikTok Pro." []