Pakar keamanan dari Zscaler ThreatLabz melaporkan telah menemukan lebih dari 90 aplikasi Android di Play Store terinfeksi malware. Bahkan aplikasi-aplikasi tersebut sudah diunduh lebih dari 5,5 juta kali.
Mereka menemukan trojan perbankan bernama Anatsa atau dikenal Teabot. Malware ini sudah menyerang lebih dari 650 aplikasi lembaga keuangan di seluruh dunia dari Inggris, Eropa, Amerika Serikat dan Asia.
Trojan ini berusaha mencuri data akses perbankan online dan menggunakannya untuk melakukan transaksi perbankan yang ilegal tanpa sepengetahuan korban. Malware Anatsa bersembunyi di berbagai aplikasi yang berpura-pura menjadi alat produktivitas.
Pada bulan Februari 2024, Anatsa menggunakan penyamaran ini untuk mencapai setidaknya 150.000 infeksi melalui Google Play. Kini, pada bulan Mei 2024, Anatsa berhasil membobol Google Play lagi.
Penjahat siber ini menyebarkan Trojan perbankan melalui aplikasi yang tidak berbahaya dan menyamarkan diri sebagai aplikasi bernama “PDF Reader & File Manager” dan “QR Reader & File Manager”.
Pada saat Zscaler melakukan penyelidikan, pengguna telah menginstal kedua aplikasi yang terinfeksi ini sekitar 70.000 kali pada perangkat mereka. Laporan tersebut menyoroti ‘tools’ sebagai kategori aplikasi yang paling populer untuk ditargetkan. Jumlahnya mencapai hampir 40% dengan ‘personalisasi’ dan ‘fotografi’ masing-masing mencapai 20% dan 13%.
Dilansir detikINET dari Tech Advisor, Anatsa menghindari deteksi malware Google dengan cara memuat komponen jahatnya dalam beberapa tahap. Pertama, aplikasi mengambil konfigurasi dan string penting dari server perintah dan kontrol peretas. Kemudian aplikasi itu mengunduh file DEX dengan kode pipet berbahaya dan mengaktifkannya di perangkat Android.
Aplikasi ini kemudian mengunduh file konfigurasi dengan URL muatan Anatsa. Akhirnya, file DEX mengambil dan menginstal malware yang sebenarnya sebagai file APK, dengan demikian menyelesaikan proses infeksi. File DEX juga memeriksa bahwa malware tidak dieksekusi di kotak pasir atau di dalam emulasi, di mana malware akan tetap tidak efektif.
Setelah Anatsa berjalan di Android yang baru terinfeksi, ia mengunggah konfigurasi bot dan hasil pemindaian aplikasi ke server dan kemudian mengunduh “suntikan” yang ditargetkan yang sesuai dengan lokasi dan profil perangkat korban.
Seperti yang telah disebutkan, Anatsa hanyalah salah satu jenis malware yang saat ini sangat aktif di Google Play. Secara keseluruhan, para ahli keamanan menemukan lebih dari 90 aplikasi yang terinfeksi (yang namanya tidak dipublikasikan oleh para peneliti keamanan) yang telah diinstal oleh pengguna Android lebih dari 5,5 juta kali.
Aplikasi-aplikasi ini menyamar sebagai alat bantu, aplikasi personalisasi, utilitas fotografi, aplikasi produktivitas, dan aplikasi kesehatan dan kebugaran. Google kini telah menghapus aplikasi yang terinfeksi dari Google Play.
Pengguna pun diminta berhati-hati, dan diminta hanya mengunduh aplikasi Android dari Google Play dan menghindari penawaran unduhan lainnya – bahkan jika peretas mampu mengelabui mekanisme keamanan Google dalam kasus yang dijelaskan di sini.
Lalu baca izin yang diperlukan aplikasi pada perangkat sebelum mengunduh. Pertanyakan secara kritis apakah otorisasi ini masuk akal atau terlalu berlebihan. Dan juga waspada terhadap panggilan telepon yang mungkin diterima saat menggunakan aplikasi, terutama aplikasi perbankan saat melakukan pembayaran atau transaksi.
(Sumber)
