Cyberthreat.id - Operator Trojan Wroba yang sebelumnya aktif menargetkan pengguna di Jepang dan Korea, kini memperluas target serangan menyasar pengguna ponsel cerdas di Amerika Serikat.

Laporan terbaru dari Kaspersky, seperti dikutip dari Dark Reading, https://www.darkreading.com/mobile/new-wroba-campaign-is-latest-sign-of-growing-mobile-threats/d/d-id/1339339,  mengungkapkan mendeteksi Trojan Wroba telah menargetkan pemilik perangkat Android dan iOS di Amerika Serikat melalui pemberitahuan pengiriman paket palsu.

Menurut Kaspersky, saat pengguna Android menerima pemberitahuan dan mengklik tautan, mereka akan dibawa ke situs berbahaya.

Modus operandinya, pengguna Android dan iOS akan mendapt peringatan yang mengatakan bahwa peramban seluler di ponsel mereka telah kadaluarsa dan perlu diperbaharui. Jika permintaan itu dituruti dengan menekan tombol 'Oke', alih-alih mengunduh pembaruan peramban, perangkat mereka justru software berbahaya di perangkat mereka.

Untungnya, pertahanan di perangkat yang menggunakan sistem operasi iOS membuat perangkat lunak berbahaya itu tidak bisa diunduh. Namun, penyebar trojan itu tak kehilangan akal. Pengguna iPhone yang terlanjur mengklik 'Oke' diarahkan ke halaman phishing yang dirancang agar terlihat seperti halamn login Apple, untuk mencoba mencuri kredensial Apple ID mereka.

Setelah Wroba diinstal di perangkat korbannya, trojan itu dpat melakukan berbagai ativitas berbahaya, termasuk mengirim pesan SMS palsu, memeriksa paket yang diinstal, mengakses data transaksi keuangan, mencuri daftar kontak pengguna, dan menyajikan halaman phishing untuk mencuri kredensial, termasuk yang terkait dengan rekening bank.

Menurut analis malware Kaspersky, Alexander Eremin, operator yang berada dibalik Wroba menargetkan korbannya secara acak. Operator Wroba mendapatkan nomor korbannya dengan mencuri dari beberapa layanan e-commerce yang melakukan pengiriman paket.

Dalam beberapa aspek, Wroba memiliki kesamaan dengan malware seluler lainnya, misalnya didistribusikan melalui SMS. Tetapi Wroba menggunakan beberapa teknik yang tidak biasa untuk menyembunyikan komunikasinya dengan server perintah-dan-kontrol [C2], seperti menggunakan format MessagePack dan enkripsi DES untuk mengirim data.

"Wroba juga memiliki kemampuan untuk memperbarui daftar server C2 dengan bantuan informasi di akun media sosial. Informasi C2, misalnya, mungkin disimpan dalam bentuk terenkripsi di bio atau bidang serupa di akun media sosial," ungkap Eremin.

Wroba bukanlah malware yang baru bagi perangkat seluler. Malwarebytes pertama kali menemukan malware ini pada 2013, yang menyamar sebagai aplikasi Google Play Store yang sah.

Sebelumnya, mereka hanya menargetkan pengguna di Korea, Jepang, dan negara lain di kawasan Asia Pasifik. Kaspersky mengatakan, kampanye yang diluncurkan Wroba pada minggu ini menandai pertama kalinya operator malware menargetkan pemilik perangkat seluler di AS.

Dalam sebuah laporan awal tahun ini, dan laporan tahun 2018, Kaspersky menggambarkan Wroba sebagai bagian dari kampanye malware seluler yang lebih luas yang disebut "Roaming Mantis". Versi malware sebelumnya didistribusikan melalui pembajakan DNS. Operator malware pada dasarnya membajak pengaturan DNS di router rumah dan mengarahkan pengguna dari router tersebut ke situs jahat.

Kampanye penyebaran Wroba terbaru adalah tanda lain dari meningkatnya ancaman yang dihadapi pengguna dan organisasi seluler dari malware, adware, dan software berbahaya lainnya di smartphone dan perangkat seluler lainnya.[]

Editor: Yuswardi A. Suud