Malware yang Serba Bisa

Ponsel pintar android murah dari produsen Tiongkok membawa aplikasi yang dipenuhi malware yang meniru WhatsApp dan Telegram dan sudah terpasang di perangkat tersebut.

Aplikasi yang terinfeksi Trojan menyamar sebagai aplikasi yang sah dan berisi fungsi yang dirancang untuk mencuri mata uang kripto melalui clipping. Clipper menyalin alamat dompet sebelum menukarnya dengan alamat milik pelaku.

Banyak perangkat yang disusupi dianggap sebagai ponsel kelas bawah yang meniru model terkenal dari Samsung dan Huawei, dengan merek seperti:

S23 Ultra
Note 13 Pro
P70 Ultra

Menurut penelitian terbaru. Setidaknya empat perangkat yang diketahui terkena dampak diproduksi dengan merek bernama SHOWJI, kata para peneliti.

Para penyerang menggunakan aplikasi yang memungkinkan mereka untuk memalsukan spesifikasi teknis perangkat dan informasi perangkat lunak.

Menipu pengguna agar berpikir bahwa perangkat mereka menjalankan perangkat keras dan sistem operasi yang lebih canggih dan lebih baik.

Selain itu, pelaku menggunakan open source yang disebut LSPatch untuk menyuntikkan Trojan dijuluki Shibai ke dalam perangkat lunak yang sah seperti WhatsApp dan Telegram.

Sehingga menjadi versi berbahaya dari aplikasi-aplikasi populer tersebut. Setidaknya ada sekitar 40 aplikasi yang telah dimodifikasi menggunakan teknik ini.

Para peneliti menganalisis artefak tersebut dan menemukan bahwa LSPatch berfungsi dengan membajak proses pembaruan aplikasi untuk mengambil file APK dari server yang dikendalikan oleh penyerang.

Kemudian, LSPatch mencari string dalam percakapan obrolan yang cocok dengan pola alamat dompet mata uang kripto yang berhubungan dengan Ethereum atau Tron.

Jika ditemukan kecocokan, alamat tersebut diganti dengan alamat pelaku ancaman untuk mengalihkan transaksi.

Ketika pesan masuk diterima, pengirim melihat alamat dompet mereka sendiri; sementara itu, pada perangkat korban, alamat masuk diganti dengan alamat dompet peretas.

Dalam kasus pesan keluar, perangkat yang disusupi menampilkan alamat dompet korban yang benar, sementara penerima pesan diperlihatkan alamat dompet penipu.

Namun, hal itu tidak berakhir di situ. Malware tersebut juga dapat mengumpulkan:

Informasi perangkat.
Pesan WhatsApp.
Berkas gambar.
Dokumen.
Data pengguna lainnya.

Mengenai siapa yang berada di balik kampanye tersebut, para peneliti masih belum yakin, tetapi mereka mencatat bahwa kampanye tersebut telah memperoleh banyak momentum.

Para peretas menggunakan lebih dari 60 server C2 untuk mengelolanya dan sekitar 30 domain untuk mendistribusikan aplikasi berbahaya. Salah satu dompet telah menerima lebih dari satu juta dolar selama dua tahun terakhir.

Dan aset keseluruhan di dompet lain berjumlah setengah juta dolar, sementara sekitar 20 dompet yang tersisa berjumlah hingga $100.000.

Baca juga: Risiko Siber Smartphone

Menyusup Rantai Pasokan

Ini bukan pertama kalinya aplikasi yang mengandung malware digunakan oleh pelaku kejahatan siber untuk mencuri informasi. Namun, seperti yang dicatat oleh para peneliti, tampaknya ada peningkatan praktik tersebut.

Pelaku kejahatan siber semakin menargetkan rantai pasokan produsen ponsel untuk menanamkan malware bahkan sebelum perangkat tersebut sampai ke tangan pengguna.

Pelaku kejahatan siber menyusup ke rantai pasokan perangkat ini menggunakan beberapa metode. Mereka dapat membahayakan produsen atau distributor, merusak perangkat selama produksi atau pengiriman, atau memanipulasi pembaruan perangkat lunak.

Lanskap rantai pasokan yang rumit dan global mempersulit upaya untuk mengamankan setiap fase, yang berpotensi menimbulkan kerentanan atau pintu belakang yang dapat dieksploitasi oleh penyerang nanti melalui API.

Faktanya, awal bulan ini para peneliti menemukan versi palsu dari ponsel populer yang semakin populer karena harganya yang murah, tetapi ternyata membawa malware bawaan yang dikenal sebagai Triada, Trojan akses jarak jauh (RAT).

Risiko Pada Bisnis

Lebih dari 2.600 pengguna di berbagai negara, sebagian besar di Rusia menemukan Triada versi terbaru, menurut peneliti yang menemukan bahwa versi baru malware tersebut berada dalam kerangka sistem, yang menginfeksi setiap proses di telepon pintar.

Malware tersebut juga memungkinkan pelaku kejahatan untuk mencuri akun pengguna di aplikasi pesan instan dan media sosial, membuat dan mengirim pesan atas nama pengguna, memantau aktivitas korban, dan mencuri mata uang kripto.

Penyerang dapat memperoleh akses berkelanjutan ke komunikasi dan informasi bisnis yang sensitif, seperti kunci API atau token akses, melalui pra-instalasi malware pada perangkat, khususnya pada aplikasi pengiriman pesan populer seperti WhatsApp dan Telegram.

Dan jika ini terjadi, bisnis akan menjadi pihak pertama yang disalahkan. Jika aplikasi Anda tidak berfungsi dengan baik atau membocorkan data karena dieksploitasi pada perangkat yang disusupi, merek Anda akan menanggung akibatnya, meskipun perangkat, bukan kode Anda, yang menjadi titik masuknya.

Untuk mengurangi risiko yang terkait dengan perangkat yang disusupi, bisnis harus mengadopsi kebijakan manajemen perangkat seluler (MDM) yang kuat, menilai vendor perangkat dengan cermat, menggunakan alat deteksi ancaman yang dapat menemukan malware pra-instal, dan menerapkan langkah-langkah keamanan API yang kuat, yang mencakup manajemen kunci yang aman dan tata kelola postur API.

Konsumen juga harus waspada terhadap produk dan perangkat yang mungkin lolos dari pengawasan. Itu berarti menghindari versi perangkat palsu dengan hanya membeli dari vendor yang memiliki reputasi baik, meninjau aplikasi yang sudah terinstal, dan menginstal perangkat lunak keamanan seluler, jika memungkinkan.

Baca artikel lainnya: