Peneliti keamanan dari McAfee Labs menemukan sebuah malware baru dari Korea. Malware bernama SpyAgent ini bisa mencuri akses ke dompet kripto korbannya. Waduh!
SangRyol Ryu, peneliti dari McAfee Labs, menyebut SpyAgent menyusup ke ponsel korban dengan menyaru sebagai aplikasi asli, dari mulai aplikasi perbankan, layanan pemerintah, sampai platform streaming.
Cara membujuk korban untuk mengunduh SpyAgent ini adalah lewat taktik phishing, juga social engineering untuk membujuk agar korbannya mengklik tautan berisi malware itu.
Ia menemukan malware ini setelah melacak data yang dicuri oleh sebuah malware. Data curian tersebut terlacak di sebuah server nakal, dan mendapat akses ke server tersebut, demikian dikutip detikINET dari Techspot, Senin (9/9/2024).
Dari situ ia mengidentifikasi bahwa ada lebih dari 280 aplikasi palsu yang menyimpan malware SpyAgent ini. Lalu apa yang dicuri oleh SpyAgent? Target utamanya adalah foto, namun bukan sembarang foto yang diincar.
Saat korban mengunduh aplikasi yang disusupi SpyAgent, malware langsung beraksi dengan membuka koneksi dengan server pengontrolnya. Dari situ malware bisa diperintah secara remote.
Kemudian malware akan menyalin data SMS dan daftar kontak, serta mengirimkan foto-foto dari perangkat yang terinfeksi. Nah, kemampuan unik dari SpyAgent ini adalah optical character recognition (OCR), yang membuatnya berbeda dengan malware lain.
OCR ini kemudian dipakai untuk memindai gambar yang tersimpan di perangkat korban. Target utamanya adalah foto yang menyimpan mnemonic keys, yaitu kalimat berisi 12 kata yang diperlukan untuk me-recover dompet kripto.
Penggunaan mnemonic keys semacam ini tengah populer di kalangan pengguna dompet kripto, karena akan lebih mudah diingat ketimbang menggunakan deretan karakter acak yang jumlahnya banyak.
Selain itu SpyAgent pun disebut punya banyak trik agar tak terdeteksi. Salah satunya adalah mengalihkan perhatian pengguna agar tak curiga menggunakan loading screen ataupun tampilan blank pada layar yang terus menerus ditampilkan.
Lalu untuk menghindari pendeteksian dari peneliti keamanan, SpyAgent menggunakan berbagai trik seperti string encoding dan pengubahan nama fungsi.
Cakupan serangannya pun terus bertambah. Jika awalnya hanya menargetkan pengguna di Korea, kini serangannya sudah menyebar ke negara lain, termasuk Inggris. Ia pun bisa mengubah metode koneksinya dari HTTP ke koneksi WebSocket, yang membuatnya bisa punya komunikasi dua arah secara realtime dengan server pengontrolnya.
"Pesan phishing ini dibuat seolah-olah berasal dari daftar kontak yang familiar, yang mungkin bisa dipercaya oleh korban. Misalnya, sebuah notifikasi obituari muncul dari nomor telepon teman mungkin akan diterima seperti sebuah pesan yang asli," kata Ryu.
Operasional backend SpyAgent pun terlihat sangat canggih untuk sebuah malware. Ryu menemukan laman admin yang didesain untuk mengontrol perangkat-perangkat korban. Data yang dicuri juga diproses menggunakan Python dan Javascript di servernya, yang kemudian dikelola menggunakan panel administratif.
Simak Video "Video: Staf Prabowo Bisa Ketipu Love Scam, Data Kepresidenan Aman?"
(asj/fay)