Pengguna Android perlu menghapus aplikasi berbahaya ini yang berhasil menipu Google

Dua aplikasi yang berpotensi berbahaya dengan banyak unduhan telah dihapus dari Google Play Store, laporkan pakar keamanan siber Fox-IT (melalui BleepingComputer).
Aplikasi antivirus Mister Phone Cleaner dan Kylhavy Mobile Security secara kolektif diinstal 60.000 kali dan tujuan mereka adalah untuk mencuri login perbankan dengan menginstal versi berevolusi dari yang terkenal Malware SharkBot.

Aplikasi awalnya berhasil masuk ke app store karena tidak mengandung kode berbahaya apa pun yang akan menyebabkan Google menolaknya. Mister Phone Cleaner dan Kylhavy Mobile Security adalah aplikasi penetes atau pembantu, dibuat untuk mengirimkan malware ke ponsel Android.
Setelah diinstal, pengguna diminta untuk menginstal pembaruan agar tetap terlindungi dari ancaman, yang pada dasarnya adalah cara untuk menginstal SharkBot di ponsel korban.

Meskipun aplikasi ini tidak lagi tersedia di Play Store, pengguna yang mengunduhnya sebelumnya harus menghapusnya dari ponsel atau menanggung risiko.

Aplikasi penetes SharkBot ingin mencuri info perbankan

SharkBot pertama kali ditemukan pada akhir tahun 2021 dan aplikasi pertama dengannya ditemukan di Play Store pada bulan Maret tahun ini. Modus operasi pada saat itu adalah mencuri informasi melalui keylogging, mencegat pesan teks, menipu pengguna menggunakan serangan overlay layar untuk membocorkan informasi sensitif, atau memberikan remote control kepada penjahat cyber dari perangkat yang terinfeksi dengan menyalahgunakan Layanan Aksesibilitas.

Versi upgrade yang disebut SharkBot 2 terlihat pada bulan Mei dan pada tanggal 22 Agustus, Fox-IT menemukan versi 2.25 yang mampu mencuri cookie dari login rekening bank. Aplikasi yang baru ditemukan dengan SharkBot 2.25 tidak menyalahgunakan Layanan Aksesibilitas dan juga tidak memerlukan fitur Balasan Langsung karena ini dapat mempersulit mereka untuk disetujui di Play Store.

Mereka malah meminta server perintah-dan-kontrol untuk langsung menerima file APK Sharkbot. Setelah itu, aplikasi penetes memberi tahu pengguna tentang pembaruan dan meminta mereka untuk menginstal APK dan mengizinkan izin yang diperlukan.

Untuk menghindari deteksi otomatis, SharkBot menyimpan konfigurasi hard-code dalam bentuk terenkripsi.

Menggunakan pencatat cookie, SharkBot menyedot cookie sesi yang valid saat pengguna masuk ke rekening bank mereka dan mengirimkannya ke server perintah-dan-kontrol. Cookie sangat berharga bagi pelaku ancaman karena membantu mereka menghindari pemeriksaan sidik jari dan menghindari persyaratan token otentikasi pengguna dalam beberapa kasus.

Malware tersebut mampu mencuri data seperti kata sandi dan saldo akun dari aplikasi perbankan resmi. Untuk beberapa aplikasi, itu dapat menghindari login sidik jari.

SharkBot tampaknya menargetkan pengguna di Australia, Austria, Jerman, Italia, Polandia, Spanyol, Inggris, dan AS.

Pengembang masih bekerja keras untuk meningkatkan malware dan Fox-IT mengharapkan lebih banyak kampanye di masa depan.

Untuk menghindari menjadi mangsa aplikasi semacam itu, jangan unduh aplikasi dari penerbit yang tidak dikenal, terutama yang tampaknya tidak populer dan juga melalui ulasan.

0