{"id":3993,"date":"2024-06-03T08:59:22","date_gmt":"2024-06-03T01:59:22","guid":{"rendered":"https:\/\/csirt.perhutani.co.id\/?p=3993"},"modified":"2024-06-11T11:05:33","modified_gmt":"2024-06-11T04:05:33","slug":"antidot-trojan-perbankan-android-yang-menyamar-sebagai-pembaruan-google-play","status":"publish","type":"post","link":"https:\/\/csirt.perhutani.co.id\/?p=3993","title":{"rendered":"‘Antidot’, Trojan Perbankan Android yang Menyamar sebagai Pembaruan Google Play"},"content":{"rendered":"\n

Jakarta, Dark Reading<\/strong> — Trojan perbankan yang memengaruhi perangkat Google Android, dijuluki ‘Antidot<\/strong>‘ oleh tim peneliti Cyble, telah muncul, menyamar sebagai pembaruan Google Play. Malware<\/em> ini menampilkan halaman pembaruan Google Play palsu dalam berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris, yang menunjukkan target potensial di wilayah ini.<\/p>\n\n\n\n

Antidot<\/strong>‘ menggunakan serangan overlay<\/em> dan teknik keylogging<\/em> untuk mengumpulkan informasi sensitif seperti kredensial login secara efisien. Serangan overlay<\/em> menciptakan antarmuka palsu yang meniru aplikasi sah, mengelabui pengguna agar memasukkan informasi mereka, sementara keylogging<\/em> menangkap setiap penekanan tombol yang dilakukan pengguna, memastikan bahwa malware mengumpulkan data komprehensif, termasuk kata sandi dan masukan sensitif lainnya.<\/p>\n\n\n\n

Rupali Parate, peneliti malware<\/em> Android untuk Cyble, menjelaskan malware<\/em> \u2018Antidot<\/strong>\u2019 memanfaatkan layanan “Aksesibilitas” pada perangkat Android agar dapat berfungsi.<\/p>\n\n\n\n

Setelah diinstal dan diberikan izin oleh korban, malware<\/em> tersebut menjalin komunikasi dengan server command-and-<\/em>control (C2) untuk menerima perintah. Server mendaftarkan perangkat dengan ID bot untuk komunikasi berkelanjutan. Malware<\/em> mengirimkan daftar nama paket aplikasi yang diinstal ke server, yang mengidentifikasi aplikasi target.<\/p>\n\n\n\n

Kontrol Signifikan Terhadap Perangkat yang Terinfeksi<\/h1>\n\n\n\n

Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay<\/em> (halaman phishing <\/em>HTML) yang ditampilkan kepada korban setiap kali mereka membuka aplikasi asli. Saat korban memasukkan kredensial mereka di halaman palsu ini, modul keylogger<\/em> mengirimkan data ke server C2, memungkinkan malware <\/em>mengambil kredensial.<\/p>\n\n\n\n

\u201cYang membedakan Antidot adalah penggunaan WebSocket untuk menjaga komunikasi dengan server [C2],\u201d kata Parate. \u201cHal ini memungkinkan interaksi dua arah secara real time<\/em> untuk menjalankan perintah, memberikan penyerang kontrol yang signifikan terhadap perangkat yang terinfeksi.\u201d<\/p>\n\n\n\n

Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan pesan SMS, inisiasi permintaan data layanan tambahan tidak terstruktur (USSD), dan kendali jarak jauh fitur perangkat seperti kamera dan kunci layar.<\/p>\n\n\n\n

Malware<\/em> ini juga mengimplementasikan VNC menggunakan MediaProjection untuk mengaktifkan kendali jarak jauh pada perangkat yang terinfeksi, sehingga semakin memperkuat potensi ancamannya. Perangkat kendali jarak jauh VNC yang terinfeksi memungkinkan peretas mengeksekusi rantai penipuan lengkap, jelas Parate.<\/p>\n\n\n\n

\u201cMereka dapat memonitor aktivitas real time<\/em>, melakukan transaksi tidak sah, mengakses informasi pribadi, dan memanipulasi perangkat seolah-olah mereka sedang memegangnya secara fisik,\u201d katanya. \u201cKemampuan ini memaksimalkan potensi mereka untuk mengeksploitasi sumber daya keuangan dan data pribadi korban.\u201d<\/p>\n\n\n\n

Kemunculan Trojan perbankan Android menimbulkan ancaman yang signifikan karena mereka dapat melewati langkah-langkah keamanan tradisional, mengeksploitasi kepercayaan pengguna, dan mendapatkan akses luas terhadap informasi pribadi dan keuangan, tambahnya.<\/p>\n\n\n\n

\u201cTrojan ini dapat beroperasi secara diam-diam di latar belakang, membuatnya sulit dideteksi sambil terus menerus mengambil data sensitif, sehingga menyebabkan pelanggaran finansial dan privasi yang parah,\u201d kata Parate.<\/p>\n\n\n\n

Tren Menuju Serangan Beraneka Ragam<\/h1>\n\n\n\n

Trojan ini semakin canggih melalui teknik kebingungan yang canggih, komunikasi C2 real time<\/em>, dan strategi serangan berlapis-lapis seperti menggabungkan serangan overlay<\/em>, keylogging<\/em>, dan VNC untuk kendali jarak jauh, kata Parate.<\/p>\n\n\n\n

\u201cTrojan Antidot menunjukkan bahwa malware<\/em> seluler menjadi lebih canggih dan tertarget. Ini menunjukkan tren serangan multifaset yang mengeksploitasi fitur sistem dan kepercayaan pengguna,\u201d jelasnya.<\/p>\n\n\n\n

Penggunaan kemampuan komunikasi real time<\/em> dan kendali jarak jauh menandakan peralihan ke arah ancaman yang lebih interaktif dan persisten, tambahnya.<\/p>\n\n\n\n

\u201cEvolusi ini menggarisbawahi perlunya peningkatan langkah-langkah keamanan dan kesadaran pengguna untuk memerangi malware<\/em> seluler yang semakin canggih,\u201d kata Parate.<\/p>\n\n\n\n

Trojan perbankan terus berkembang biak secara global, termasuk Trojan mobile banking<\/em> \u2018Godfather\u2019, yang pertama kali ditemukan pada tahun 2022 dan kini menargetkan 237 aplikasi perbankan yang tersebar di 57 negara, dan malware<\/em> \u2018GoldDigger\u2019, yang menargetkan organisasi di Vietnam.<\/p>\n\n\n\n

Sumber = Dark Reading<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Jakarta, Dark Reading — Trojan perbankan yang memengaruhi perangkat Google Android, dijuluki ‘Antidot‘ oleh tim peneliti Cyble, telah…\n","protected":false},"author":1,"featured_media":3997,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"csco_singular_sidebar":"","csco_page_header_type":"standard","csco_appearance_grid":"","csco_page_load_nextpost":"","csco_post_video_location":[],"csco_post_video_location_hash":"","csco_post_video_url":"","csco_post_video_bg_start_time":0,"csco_post_video_bg_end_time":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-3993","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-berita","8":"cs-entry","9":"cs-video-wrap"},"jetpack_featured_media_url":"https:\/\/i0.wp.com\/csirt.perhutani.co.id\/wp-content\/uploads\/2024\/05\/trojan-the_lightwriter-alamy.webp?fit=850%2C555&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3993"}],"version-history":[{"count":4,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3993\/revisions"}],"predecessor-version":[{"id":4017,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/posts\/3993\/revisions\/4017"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=\/wp\/v2\/media\/3997"}],"wp:attachment":[{"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/csirt.perhutani.co.id\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}