Gelombang trojan baru menargetkan dompet crypto dan aplikasi perbankan

Para peneliti keamanan siber telah menemukan empat keluarga malware Android yang aktif yang menargetkan lebih dari 800 aplikasi, termasuk dompet cryptocurrency dan aplikasi perbankan. Malware ini menggunakan metode yang tidak dapat dideteksi oleh sebagian besar alat keamanan tradisional.

Tim zLabs dari Zimperium merilis hasil pelacakan trojan yang dikenal sebagai RecruitRat, SaferRat, Astrinox, dan Massiv.

Menurut penelitian perusahaan, setiap keluarga memiliki jaringan command-and-control sendiri yang mereka gunakan untuk mencuri informasi login, mengambil alih transaksi keuangan, dan mendapatkan data pengguna dari perangkat yang terinfeksi.

Aplikasi crypto dan perbankan menghadapi ancaman baru dari berbagai malware

Keluarga malware ini merupakan ancaman langsung bagi siapa saja yang mengelola crypto di Android.

Setelah terinstal, trojan dapat menampilkan layar login palsu di atas aplikasi crypto dan perbankan yang asli, mencuri kata sandi dan informasi pribadi lainnya secara real-time. Malware kemudian menempatkan halaman HTML palsu di atas antarmuka aplikasi asli, yang disebut perusahaan sebagai “fasad yang sangat meyakinkan dan menipu.”

“Dengan menggunakan Layanan Aksesibilitas untuk memantau latar depan, malware mendeteksi saat tepat saat korban meluncurkan aplikasi keuangan,” tulis peneliti keamanan dari Zimperium.

Menurut laporan tersebut, trojan tidak hanya mencuri kredensial. Mereka juga dapat menangkap kode sekali pakai, menyiarkan layar perangkat kepada penyerang, menyembunyikan ikon aplikasi mereka sendiri, dan menghentikan orang untuk menghapusnya.

Setiap kampanye menggunakan umpan berbeda untuk membuat orang tertipu.

SaferRat menyebar sendiri dengan menggunakan situs web palsu yang menjanjikan akses gratis ke layanan streaming premium. RecruitRat menyembunyikan payload-nya sebagai bagian dari proses lamaran kerja, mengarahkan target ke situs phishing yang meminta mereka mengunduh file APK berbahaya.

Astrinox menggunakan metode berbasis rekrutmen yang sama, dengan domain xhire[.]cc. Tergantung pada perangkat yang digunakan untuk mengunjungi situs tersebut, konten yang berbeda ditampilkan.

Pengguna Android diminta mengunduh APK, dan pengguna iOS melihat halaman yang tampak seperti Apple App Store. Namun, peneliti keamanan tidak menemukan bukti bahwa iOS benar-benar diretas.

Tidak dapat dipastikan bagaimana Massiv didistribusikan selama siklus penelitian.

Keempat trojan tersebut menggunakan infrastruktur phishing, penipuan pesan teks, dan rekayasa sosial yang memanfaatkan kebutuhan orang untuk bertindak cepat atau rasa ingin tahu mereka agar mereka menginstal aplikasi berbahaya.

Malware crypto menghindari deteksi

Kampanye ini bertujuan untuk mengelak dari alat keamanan.

Para peneliti menemukan bahwa keluarga malware ini menggunakan teknik anti-analisis canggih dan manipulasi struktural terhadap paket aplikasi Android (APKs) untuk menjaga apa yang disebut perusahaan sebagai “tingkat deteksi mendekati nol terhadap mekanisme keamanan berbasis tanda tangan tradisional.”

Komunikasi jaringan juga bercampur dengan lalu lintas reguler. Trojan menggunakan koneksi HTTPS dan WebSocket untuk berkomunikasi dengan server command mereka. Beberapa versi menambahkan lapisan enkripsi tambahan di atas koneksi ini.

Hal penting lainnya adalah ketahanan. Trojan perbankan Android modern tidak lagi menggunakan infeksi satu tahap yang sederhana. Sebaliknya, mereka menggunakan proses instalasi multi-tahap yang dirancang untuk mengelak dari model izin Android yang terus berubah, yang membuatnya semakin sulit bagi aplikasi untuk melakukan sesuatu tanpa izin eksplisit dari pengguna.

Laporan tersebut tidak mengidentifikasi dompet crypto atau bursa tertentu dalam lebih dari 800 aplikasi yang ditargetkan. Tetapi karena serangan overlay, penyadapan kode sandi, dan streaming layar, setiap aplikasi crypto berbasis Android bisa berisiko jika pengguna menginstal APK berbahaya dari luar Google Play Store.

Mengunduh aplikasi dari tautan dalam pesan teks, lowongan pekerjaan, atau situs promosi masih menjadi salah satu cara terjamin malware mobile masuk ke ponsel.

Orang yang mengelola crypto mereka di perangkat Android harus hanya menggunakan toko aplikasi resmi dan berhati-hati terhadap pesan pop-up yang meminta mereka mengunduh sesuatu.

Para pakar crypto paling cerdas sudah membaca newsletter kami. Ingin bergabung? Bergabunglah dengan mereka.