redaksiutama.com – Salah satu aplikasi di Google Play Store ternyata bisa mencuri rekening Anda karena terdapat malware di dalamnya. Menurut NCC Group’s Fox-IT kedua aplikasi antivirus itu adalah Mister Phone Cleaner dan Kylhavy Mobile Security.
Malware yang dimaksud adalah SharkBot versi baru, yang kedapatan muncul kembali di Google Play Store, dan menargetkan pengguna Android.
Seperti versi sebelumnya, malware SharkBot ini memiliki kemampuan untuk mencuri login kredensial perbankan milik korban saat menginstal aplikasi.
Malware itu hadir di dua aplikasi Android yang tidak menampilkan kode berbahaya apa pun saat dikirimkan ke peninjauan otomatis Google.
Namun, SharkBot ditambahkan dalam pembaruan yang terjadi setelah pengguna menginstal dan meluncurkan aplikasi penetes, demikian dikutip dari Bleeping Computer, Selasa (13/9/2022).
Menurut posting blog oleh Fox IT, dua aplikasi berbahaya tersebut secara kolektif telah 60.000 kali dipasang oleh pengguna. Kedua aplikasi ini memang telah dihapus dari Google Play, tetapi pengguna yang menginstalnya masih berisiko dan harus menghapusnya secara manual.
Analis malware di Cleafy, perusahaan manajemen dan pencegahan penipuan online Italia, menemukan SharkBot pada Oktober 2021. Pada Maret 2022, NCC Group menemukan aplikasi pertama yang membawanya di Google Play.
Pada saat itu, malware dapat melakukan serangan overlay, mencuri data melalui keylogging, mencegat pesan SMS, atau memberi pelaku ancaman kendali jarak jauh penuh atas perangkat host dengan menyalahgunakan Layanan Aksesibilitas.
Pada Mei 2022, para peneliti di ThreatFabric menemukan SharkBot 2 yang datang dengan algoritme pembuatan domain (DGA), protokol komunikasi yang diperbarui, dan kode yang sepenuhnya di-refactored.
Baru-baru ini, para peneliti di Fox IT menemukan versi baru malware (2.25) pada 22 Agustus, yang menambahkan kemampuan untuk mencuri cookie dari login rekening bank.
Selain itu, aplikasi penetes baru tidak menyalahgunakan Layanan Aksesibilitas seperti sebelumnya.
“Menyalahgunakan izin aksesibilitas, dropper dapat secara otomatis mengklik semua tombol yang ditampilkan di UI untuk menginstal Sharkbot. Tapi ini tidak terjadi di versi baru untuk Sharkbot ini,” kata Fox IT
“Dropper sebaliknya akan membuat permintaan ke server C2 untuk langsung menerima file APK dari Sharkbot. Ia tidak akan menerima tautan unduhan di samping langkah-langkah untuk menginstal malware menggunakan fitur ‘Sistem Transfer Otomatis’ (ATS), yang biasanya dilakukan,” imbuhnya.
Selama penyelidikan, Fox IT mengamati kampanye SharkBot baru di Eropa (Spanyol, Austria, Jerman, Polandia, Austria) dan AS. Para peneliti memperhatikan bahwa malware menggunakan fitur keylogging dalam serangan ini dan mencuri info sensitif langsung dari aplikasi resminya.