Jakarta, Dark Reading — Trojan perbankan yang memengaruhi perangkat Google Android, dijuluki ‘Antidot‘ oleh tim peneliti Cyble, telah muncul, menyamar sebagai pembaruan Google Play. Malware ini menampilkan halaman pembaruan Google Play palsu dalam berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris, yang menunjukkan target potensial di wilayah ini.

‘Antidot‘ menggunakan serangan overlay dan teknik keylogging untuk mengumpulkan informasi sensitif seperti kredensial login secara efisien. Serangan overlay menciptakan antarmuka palsu yang meniru aplikasi sah, mengelabui pengguna agar memasukkan informasi mereka, sementara keylogging menangkap setiap penekanan tombol yang dilakukan pengguna, memastikan bahwa malware mengumpulkan data komprehensif, termasuk kata sandi dan masukan sensitif lainnya.

Rupali Parate, peneliti malware Android untuk Cyble, menjelaskan malware ‘Antidot’ memanfaatkan layanan “Aksesibilitas” pada perangkat Android agar dapat berfungsi.

Setelah diinstal dan diberikan izin oleh korban, malware tersebut menjalin komunikasi dengan server command-and-control (C2) untuk menerima perintah. Server mendaftarkan perangkat dengan ID bot untuk komunikasi berkelanjutan. Malware mengirimkan daftar nama paket aplikasi yang diinstal ke server, yang mengidentifikasi aplikasi target.

Kontrol Signifikan Terhadap Perangkat yang Terinfeksi

Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay (halaman phishing HTML) yang ditampilkan kepada korban setiap kali mereka membuka aplikasi asli. Saat korban memasukkan kredensial mereka di halaman palsu ini, modul keylogger mengirimkan data ke server C2, memungkinkan malware mengambil kredensial.

“Yang membedakan Antidot adalah penggunaan WebSocket untuk menjaga komunikasi dengan server [C2],” kata Parate. “Hal ini memungkinkan interaksi dua arah secara real time untuk menjalankan perintah, memberikan penyerang kontrol yang signifikan terhadap perangkat yang terinfeksi.”

Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan pesan SMS, inisiasi permintaan data layanan tambahan tidak terstruktur (USSD), dan kendali jarak jauh fitur perangkat seperti kamera dan kunci layar.

Malware ini juga mengimplementasikan VNC menggunakan MediaProjection untuk mengaktifkan kendali jarak jauh pada perangkat yang terinfeksi, sehingga semakin memperkuat potensi ancamannya. Perangkat kendali jarak jauh VNC yang terinfeksi memungkinkan peretas mengeksekusi rantai penipuan lengkap, jelas Parate.

“Mereka dapat memonitor aktivitas real time, melakukan transaksi tidak sah, mengakses informasi pribadi, dan memanipulasi perangkat seolah-olah mereka sedang memegangnya secara fisik,” katanya. “Kemampuan ini memaksimalkan potensi mereka untuk mengeksploitasi sumber daya keuangan dan data pribadi korban.”

Kemunculan Trojan perbankan Android menimbulkan ancaman yang signifikan karena mereka dapat melewati langkah-langkah keamanan tradisional, mengeksploitasi kepercayaan pengguna, dan mendapatkan akses luas terhadap informasi pribadi dan keuangan, tambahnya.

“Trojan ini dapat beroperasi secara diam-diam di latar belakang, membuatnya sulit dideteksi sambil terus menerus mengambil data sensitif, sehingga menyebabkan pelanggaran finansial dan privasi yang parah,” kata Parate.

Tren Menuju Serangan Beraneka Ragam

Trojan ini semakin canggih melalui teknik kebingungan yang canggih, komunikasi C2 real time, dan strategi serangan berlapis-lapis seperti menggabungkan serangan overlay, keylogging, dan VNC untuk kendali jarak jauh, kata Parate.

“Trojan Antidot menunjukkan bahwa malware seluler menjadi lebih canggih dan tertarget. Ini menunjukkan tren serangan multifaset yang mengeksploitasi fitur sistem dan kepercayaan pengguna,” jelasnya.

Penggunaan kemampuan komunikasi real time dan kendali jarak jauh menandakan peralihan ke arah ancaman yang lebih interaktif dan persisten, tambahnya.

“Evolusi ini menggarisbawahi perlunya peningkatan langkah-langkah keamanan dan kesadaran pengguna untuk memerangi malware seluler yang semakin canggih,” kata Parate.

Trojan perbankan terus berkembang biak secara global, termasuk Trojan mobile banking ‘Godfather’, yang pertama kali ditemukan pada tahun 2022 dan kini menargetkan 237 aplikasi perbankan yang tersebar di 57 negara, dan malware ‘GoldDigger’, yang menargetkan organisasi di Vietnam.

Sumber = Dark Reading