Sering kali, kita mengetahui tentang malware Android kritis yang berevolusi dari kode berbahaya yang diketahui atau sudah lama ada. Peneliti keamanan siber di ThreatFabric baru-baru ini menemukan satu ancaman yang memungkinkan penyerang melakukan penipuan di perangkat dari jarak jauh. Disebut Octo, trojan akses jarak jauh (RAT) ini berevolusi dari keluarga malware Exobot.
Exobot adalah malware perbankan Android yang pertama kali muncul pada tahun 2016. Aktor ancaman di baliknya mempertahankan kode berbahaya ini hingga 2018 , dengan laporan eksploitasi yang datang dari berbagai penjuru dunia. Pembuat malware ini menjual kode sumbernya pada tahun 2018 tetapi segera bocor ke publik.
Sementara itu, Exobot melahirkan RAT baru yang disebut ExobotCompact. Malware perbankan Android Octo yang baru ditemukan adalah versi terbarunya, dengan beberapa fitur baru.
Iklan
Octo dapat menyembunyikan aktivitas penipuan di perangkatnya
Dalam penipuan di perangkat atau ODF, penyerang mendapatkan akses jarak jauh ke perangkat korban dan melakukan transaksi atau aktivitas lain tanpa mereka sadari. Karena semua penipuan terjadi di perangkat itu sendiri, ODF adalah jenis penipuan yang paling berbahaya dan tidak mencolok, catat ThreatFabric.
Untuk melakukan tindakan jarak jauh, penyerang perlu melakukan streaming layar perangkat korban. Malware Octo menggunakan layanan bawaan Android untuk ini: MediaProjection untuk streaming layar (diperbarui setiap detik) dan AccessibilityService untuk melakukan tindakan. Ini mengelabui mesin anti-penipuan di perangkat agar berpikir bahwa pemiliknya sedang mengoperasikan perangkat, bukan pelaku kejahatan dari jarak jauh.
Setelah penyerang menguasai perangkat Anda, mereka menggunakan hamparan layar hitam untuk menyembunyikan tindakan jarak jauh mereka dari korban. Kecerahan layar disetel ke nol dan mode”jangan ganggu”diaktifkan untuk mematikan semua notifikasi. Perangkat akan tampak mati bagi korban saat penyerang melakukan berbagai tindakan dari jarak jauh. Malware dapat melihat data clipboard, menyalin/memotong dan menempelkan teks, menggulir dan mengetuk layar, dan melakukan gerakan.
Keylogger Octo juga memungkinkan penyerang untuk menangkap semua yang diketik korban di perangkat. Ini mungkin termasuk pesan atau informasi rahasia seperti PIN, kata sandi, dan kredensial perbankan. Jika beberapa pelaku jahat memiliki informasi tersebut, Anda dapat menebak jumlah kerusakan yang mungkin Anda derita.
Malware ini juga dapat melakukan lusinan tindakan lain dari jarak jauh. Itu dapat memblokir pemberitahuan push dari aplikasi tertentu, mengaktifkan intersepsi SMS, atau mengirim SMS ke nomor telepon apa pun. Kemampuan lainnya termasuk membuka situs web tertentu, memulai/menghentikan sesi akses jarak jauh, meluncurkan aplikasi, menonaktifkan suara, dan mengunci layar perangkat untuk sementara.
Beberapa aplikasi Android menggunakan malware Octo
Menurut laporan baru oleh ThreatFabric, perbankan Android Octo malware ditemukan di beberapa aplikasi Android. Ini termasuk aplikasi yang disebut”Pembersih Cepat”dengan lebih dari 50.000 pemasangan dari Google Play Store. Menyusul penemuan malware, Google menghapus aplikasi dari Play Store pada Februari 2022. Aplikasi lain yang terpengaruh termasuk Pocket Screencaster, Fast Cleaner 2021, Play Store, Postbank Security, Pocket Screencaster (nama paket berbeda), BAWAG PSK Security, dan Play Store pemasangan aplikasi.
Iklan
Menakutkan membayangkan bahwa malware dengan begitu banyak kekuatan masih ada. RAT ini membuat semua langkah perlindungan akun seperti otentikasi dua faktor (2FA) menjadi usang. Penyerang mendapatkan kendali penuh atas perangkat korban dan secara efektif, akun loginnya. Sebagai Bleeping Computer catatan , “tidak ada informasi yang aman, dan tidak ada tindakan perlindungan yang efektif” setelah malware memasuki perangkat Anda. Selalu pastikan Anda hanya menginstal aplikasi tepercaya, dan dari sumber tepercaya. Jangan pasang aplikasi yang tidak diinginkan dan aktifkan Play Protect untuk memindai aplikasi berbahaya.