Kisah Perang 3 Tahun Google Lawan Joker

Jakarta - Oktober 2019 lalu ada malware bernama Joker yang mendadak populer, karena mendompleng popularitas film Joker yang saat itu tengah hype. Ternyata, Google sudah berperang melawan malware ini sejak lama.

Saat ini, secara total Google sudah menghapus 1.700 aplikasi yang disusupi oleh malware yang sejatinya bernama Bread -- kemudian juga dikenal dengan nama Joker -- ini. Ribuan aplikasi tersebut berusaha menyusup ke dalam Play Store selama tiga tahun ke belakang.

Google mendeskripsikan Joker sebagai salah satu malware paling gigih yang mereka hadapi selama beberapa tahun ke belakang, demikian dikutip detikINET dari Zdnet, Senin (13/1/2020).

SCROLL TO CONTINUE WITH CONTENT

Disebut gigih karena biasanya pembuat malware akan menyerah saat aplikasinya itu sudah ketahuan. Namun pembuat Joker tak pernah menyerah dan terus membuat versi baru dari malwarenya itu, bahkan hampir setiap minggu mereka menelurkan malware baru.

Selama bertahun-tahun itu, modus yang dipakai selalu sama. Yaitu melakukan perubahan kecil di sana-sini dengan tujuan menemukan celah di keamanan Play Store. Kebanyakan percobaan itu memang gagal, namun terkadang ada juga yang berhasil.

Contohnya pada September 2019 saat peneliti keamanan Aleksejs Kuprins menemukan ada 24 aplikasi yang terinfeksi malware ini di Play Store. Sebulan kemudian ada juga Pradeo Labs yang menemukan sejumlah aplikasi lain di Play Store yang terinfeksi malware Joker tersebut.

Tak berhenti sampai situ, Trend Micro menemukan 29 aplikasi dengan Joker di dalamnya beberapa hari kemudian. Daftarnya tak berhenti di situ karena kemudian ada juga K7 Security, Dr.Web, dan Kaspersky yang menemukan hal serupa.

Meski begitu, untungnya Google -- menurut pengakuan mereka -- bisa menghentikan malware tersebut sebelum penggunanya terinfeksi. Menurut Google pembuat malware ini sudah menggunakan semua trik untuk bersembunyi dan menyusup tanpa terdeteksi.

Malware Joker ini menurut Google bukanlah malware yang canggih, melainkan hanya gigih dibanding malware lainnya.

"Dalam waktu yang berbeda, kami melihat ada tiga atau lebih varian malware yang aktif dengan pendekatan yang berbeda ataupun menargetkan operator yang berbeda. Pada aktivitas puncaknya, kami melihat ada 23 aplikasi yang disusupi aplikasi ini didaftarkan ke Play Store dalam hari yang sama," tulis Google dalam postingan blognya.

Celah yang dimanfaatkan oleh malware Joker ini salah satunya adalah pemeriksaan keamanan, dengan menggunakan teknik yang disebut 'versioning'. Yaitu dengan menggunggah aplikasi versi 'bersih' pada awalnya, dan kemudian menyusupkan malware dalam pembaruan aplikasi.

SMS penipuan dan menyedot pulsa

Joker adalah malware yang mengambil keuntungan finansial dari korbannya. Pada versi awal, Joker berfokus pada SMS fraud, yang salah satu bentuk serangannya adalah dengan memaksa korban mengirimkan SMS ke nomor premium yang bakal menyedot pulsa.

Saat Google memperketat izin akses SMS di Android, pembuat Joker mengubah taktiknya menjadi WAP fraud. Yaitu mengarahkan korban untuk mengakses sebuah laman pembayaran melalui koneksi WAP, di mana pembayarannya dilakukan lewat pulsa atau tagihan telepon.

Kedua teknik ini memang populer di kalangan pembuat malware, pasalnya metode pembayaran di teknik ini hanya menggunakan verifikasi perangkat, bukan verifikasi penggunanya.

Maksudnya adalah operator telekomunikasi hanya bisa memverifikasi permintaan dari perangkat korban, namun mereka tak bisa mengetahui apakah permintaan itu dilakukan langsung oleh pengguna atau dilakukan oleh malware.

Malware WAP ini menjadi masalah besar pada tahun 2000-an dan mulai muncul kembali pada 2017. Kini, menurut Google, aksi Joker bisa dibilang adalah puncak dari skema penipuan melalui WAP.