Cyberthreat.id - Perusahaan keamanan siber Rusia, Kasperksy, menemukan trojan perbankan baru yang dinamai Ghimob, yang menargetkan pengguna Android.

Dikutip dari ThreatPost, Ghimob ini memiliki kemampuan untuk memata-matai 153 aplikasi seluler dari berbagai bank, mata uang kripto, dan bursa. Diantara 153 aplikasi itu, 112 berada di Brasil.

Peretas dibalik Ghimob ini pun diyakini peretas yang sama di balik trojan perbankan Guildma, aktor ancaman yang merupakan bagian dari keluarga trojan perbankan Tetrade -- sebutan Kaspersky untuk empat keluarga trojan perbankan besar yang dibuat, dikembangkan, dan disebarkan oleh penjahat Brasil.

Berasal dari Brazil, menurut Kasperskhy, Ghimob menargetkan berbagai aplikasi keuangan di Paraguay, Peru, Portugal, Jerman, Angola, dan Mozambik.

Peneliti Kaspersky menggambarkan trojan perbankan ini sebagai “mata-mata lengkap di saku Anda” yang dapat diakses jarak jauh oleh operatornya. Disebut di saku, lantaran trojan itu bisa bersarang di ponsel yang berada di saku Anda.

Ghimob ini tidak hadir dalam Play Store resmi, melainkan mulai menginfeksi menggunakan email atau situs jahat yang pada akhirnya mengarahkan pengguna untuk mengklik suatu link yang diarahkan ke aplikasi Android yang meniru aplikasi resmi.

"Untuk memikat korban agar menginstal file berbahaya tersebut, email tersebut ditulis seolah-olah dari kreditor dan menyediakan tautan di mana penerima dapat melihat lebih banyak informasi, sementara aplikasinya sendiri berpura-pura sebagai Google Defender, Google Docs, WhatsApp Updater, dll.” kata peneliti.

Menurut peneliti, setelah trojan dipasang dan diluncurkan, trojan pertama kali akan mencoba mengendus kemungkinan adanya emulator, jika ada maka malware berhenti dengan sendirinya.

"Jika pemeriksaan sebelumnya berhasil, pengguna akan melihat jendela aksesibilitas Android default, karena malware sangat bergantung pada aksesibilitas untuk bekerja.” kata peneliti.

Setelah berhasil mencari tahu sisi perangkat yang terinfeksi itu, malware ini kemudian mengirim pesan ke server command-and-control (C2) yang berisi data telepon korban, termasuk modelnya, apakah kunci layarnya diaktifkan dan daftar semua aplikasi yang ditargetkan yang diinstal di ponsel (termasuk nomor versinya).

Kemampuan Ghimob
Menurut peneliti, Ghimob ini dapat mengakses perangkat yang terinfeksi dari jarak jauh, menyelesaikan transaksi penipuan dengan ponsel pintar korban. Bahkan, Ghimob ini dapat menghindari identifikasi keamanan yang telah digunakan oleh lembaga keuangan.

Yang paling menakutkan adalah meski korban menggunakan kunci layar pada ponselnya, Ghimob ini juga dapat menembusnya. Pasalnya, trojan ini memiliki kemampuan perekaman layar yang memungkinkan merekam saat pengguna memasukkan pola kunci layar mereka, sehingga bisa melihatnya kembali untuk membuka kunci layar itu.

“Meskipun pengguna memiliki pola kunci layar, Ghimob dapat merekamnya dan memutarnya kembali untuk membuka kunci perangkat,” kata peneliti.

Ghimob beraksi dengan membuat layar ponsel korban menjadi tampilan situs web dalam layar penuh atau membuat layar menjadi hitam. Dibalik itulah Ghimob beraksi.

Selain itu, C2 milik peretas ini menggunakan fallback yang dilindungi oleh Cloudfare, sehingga menyembunyikan C2 aslinya dengan beberapa trik.

Kaspersky pun merekomendasikan agar lembaga keuangan dapat memperhatikan ancaman trojan Ghimob ini  dengan meningkatkan proses otentikasi, meningkatkan teknologi anti-penipuan dan data intel ancaman, serta mencoba memahami dan mengurangi semua risiko yang ditimbulkan dari Ghimob ini. []

Editor: Yuswardi A. Suud