Aplikasi yang menawarkan fitur two-factor authentication (2FA) harusnya bisa memberikan keamanan tambahan untuk ponsel. Tapi aplikasi 2FA Authenticator yang beredar di Google Play Store malah berisi malware pencuri data.
Di halaman aplikasi 2FA Authenticator di Google Play Store yang telah di-cache, aplikasi ini mengklaim bisa menyediakan authenticator untuk berbagai layanan online, serta enkripsi dan backup. Aplikasi ini juga mengklaim bisa mengimpor data authenticator lainnya seperti Google Authenticator, Microsoft Authenticator, Authy, dan Steam.
Aplikasi nakal ini ditemukan oleh peneliti dari perusahaan keamanan siber Pradeo. 2FA Authenticator sebenarnya berfungsi normal seperti aplikasi authenticator pada umumnya, tapi aplikasi ini juga bekerja sebagai dropper untuk malware Vultur yang dirancang untuk mencuri data perbankan.
"Aplikasi ini telah dikembangkan agar terlihat asli dan menyediakan layanan yang sebenarnya," kata peneliti Pradeo dalam laporannya, seperti dikutip dari ZDNet, Senin (31/1/2022).
"Untuk melakukannya, pengembang menggunakan kode open-source dari aplikasi autentikasi resmi Aegis yang mereka suntikkan dengan kode berbahaya. Akibatnya, aplikasi ini berhasil disamarkan sebagai alat autentikasi yang memastikannya tetap low profile," sambungnya.
Setelah pengguna menginstal aplikasi 2FA Authenticator, aplikasi ini akan menyerang dalam dua tahap. Pertama, aplikasi akan meminta sederet izin akses dari pengguna, termasuk akses kamera dan biometrik, kemampuan mengutak-atik peringatan sistem, kueri paket, dan kemampuan untuk mematikan keylock.
Izin akses ini memungkinkan malware untuk menjalankan beberapa tindakan, termasuk mengumpulkan data lokal untuk serangan yang ditargetkan, mematikan keamanan keylock dan password, mengunduh aplikasi eksternal, dan menciptakan jendela overlay di atas jendela aplikasi lainnya.
Setelah semua izin akses ini dikabulkan, dropper kemudian menginstal malware Vultur. Menurut laporan ThreatFabric, Vultur adalah remote acccess trojan (RAT) yang terbilang baru di lanskap malware.
Vultur termasuk salah satu malware yang pertama kali menggunakan keylogging dan perekaman layar sebagai taktik utamanya untuk mencuri data perbankan. Taktik ini memang lebih lama ketimbang menggunakan overlay yang lebih banyak ditemukan, tapi teknik ini membantu Vultur jadi semakin sulit terdeteksi.
Malware Vultur biasanya menyerang institusi perbankan di Eropa dan serangkaian platform dompet kripto untuk mencuri kredensial korban dan informasi keuangan penting lainnya.
Pradeo mengatakan aplikasi 2FA Authenticator saat ini sudah dihapus dari Google Play Store. Tapi sebelum ditendang, aplikasi ini sudah beredar setidaknya selama 15 hari di Play Store dan diunduh lebih dari 10.000 kali.
Pengguna yang sudah terlanjur menginstal aplikasi jahat ini diminta untuk segera menghapusnya dari ponsel.
Simak Video "Video: Google Ajukan Banding Atas Kasus Monopoli Ilegal Play Store"
(vmp/asj)