'Alien' Bisa Curi Password WhatsApp dan Ratusan Aplikasi Android

'Alien' Bisa Curi Password WhatsApp dan Ratusan Aplikasi Android

Rachmatunnisa - detikInet
Jumat, 25 Sep 2020 05:32 WIB
Ilustrasi WhatsApp
Jakarta -

Peneliti keamanan menemukan dan menganalisis malware Android jenis baru. Alien, demikian nama malware tersebut, bisa mencuri password dari 226 aplikasi Android termasuk WhatsApp Messenger, Netflix, Instagram, Telegram, Twitter, Facebook, dan Gmail.

Trojan baru ini telah aktif sejak awal tahun 2020 dan ditawarkan sebagai Malware-as-a-Service (MaaS) di forum hacking underground. Dalam laporan yang dirilis minggu ini, peneliti keamanan dari ThreatFabric menggali lebih dalam sampel Alien untuk memahami evolusi, trik, dan fitur malware tersebut.

Dikutip dari laporan resmi ThreatFabric, menurut para peneliti, Alien bukan merupakan deretan kode malware yang benar-benar baru. Malware ini sebenarnya didasarkan pada source code dari kelompok malware rivalnya yang bernama Cerberus.

Aktif ditawarkan sebagai MaaS di tahun lalu, perjalanan Cerberus harus gagal dan terhenti di tahun ini. Pemiliknya mencoba menjual basis kode dan basis kustom Cerberus sebelum akhirnya membocorkannya secara gratis.

ThreatFabric mengatakan, Cerberus mati karena tim keamanan Google menemukan cara untuk mendeteksi dan membersihkan perangkat yang terinfeksi malware tersebut. Berbeda dengan Alien, meski masih berbasis Cerberus, malware ini tampaknya lebih bandel, sehingga langsung mengisi kekosongan sebagai MaaS yang ditinggalkan oleh kematian Cerberus.

"Alien bahkan lebih maju daripada Cerberus, trojan yang memiliki reputasi dan berbahaya," tulis laporan ThreatFabric.

Mencuri Password Aplikasi

ThreatFabric mengatakan, Alien adalah bagian dari generasi baru trojan perbankan Android yang juga telah mengintegrasikan fitur akses jarak jauh ke dalam basis kode mereka.

Ini membuat infeksi Alien sangat berbahaya. Alien tak hanya dapat menampilkan layar login palsu dan mengumpulkan password untuk berbagai aplikasi dan layanan, tetapi juga dapat memberikan akses ke perangkat untuk menggunakan kredensial tersebut atau bahkan melakukan tindakan lain.

Menurut ThreatFabric, beberapa kemampuan Alien adalah sebagai berikut:

- Dapat menampilkan konten di atas aplikasi lain (fitur yang digunakan untuk kredensial login phishing)
- Memasukkan login keyboard
- Memberikan akses jarak jauh ke perangkat setelah menginstal TeamViewer
- Mencuri, mengirim, dan meneruskan pesan SMS
- Mencuri daftar kontak
- Mengumpulkan detail perangkat dan daftar aplikasi
- Mengumpulkan data geo-lokasi
- Membuat permintaan USSD
- Mengalihkan panggilan
- Menginstal dan menjalankan aplikasi lain
- Membuka browser di halaman yang diinginkan
- Mengunci layar untuk fitur mirip ransomware
- Mengintai notifikasi yang ditampilkan di perangkat
- Mencuri kode 2FA yang dibuat oleh aplikasi pengautentikasi.

Daftar di atas adalah serangkaian fitur yang cukup "mengesankan". ThreatFabric mengatakan, fitur-fitur ini sebagian besar digunakan untuk melakukan penipuan, karena kebanyakan trojan Android zaman sekarang bermotif untuk memeras dan mendapatkan uang.

Selama analisisnya, para peneliti mengatakan mereka menemukan bahwa Alien bisa menampilkan halaman login palsu untuk 226 aplikasi Android. Sebagian besar halaman login palsu ini ditujukan untuk mengintervensi kredensial aplikasi e-banking, sehingga jelas bahwa Alien dimaksudkan untuk penipuan cyber.

Kebanyakan aplikasi banking yang dibidik Alien adalah milik institusi finansial yang berpusat di Spanyol, Turki, Jerman, Amerika Serikat, Italia, Prancis, Polandia, Australia, dan Inggris.

Tak hanya itu, beberapa aplikasi Android yang menjadi sasarannya juga termasuk aplikasi populer seperti WhatsApp Messenger, Netflix, Instagram, Telegram, Twitter, Facebook, dan Gmail. Daftar lengkap 226 aplikasi incaran malware Alien bisa dilihat dalam laporan ThreatFabric berikut ini.

ThreatFabric tidak menyertakan detail tentang bagaimana Alien masuk ke perangkat pengguna, terutama karena hal ini bervariasi berdasarkan bagaimana "pelanggan" Alien MaaS (kelompok kriminal cyber lain) memilih untuk mendistribusikannya.

"Banyak yang tampaknya didistribusikan melalui situs phishing, misalnya halaman palsu yang menipu korban agar mendownload update software palsu," kata Gaetan van Diemen, analis malware di ThreatFabric.

"Metode lainnya adalah lewat SMS. Begitu mereka menginfeksi, perangkat mereka mengumpulkan daftar kontak yang kemudian mereka gunakan kembali untuk menyebarkan malware mereka," tambahnya.

Diemen mengatakan, salah satu ciri aplikasi yang terinfeksi Alien adalah, sering kali mengharuskan pengguna memberi akses ke pengguna admin atau ke layanan Aksesibilitas. Dia menyarankan agar pengguna lebih berhati-hati memberikan akses ini.



Simak Video "Tips Aman Download Game untuk Cegah Malware"
[Gambas:Video 20detik]
(rns/rns)