JAKARTA, SALISMA.COM (SC) – Setelah mengungkap konfigurasi cloud tidak aman yang mengekspos data pengguna di ribuan aplikasi Android dan iOS sah beberapa pekan terakhir, kini peneliti Zimperium zLabs memperingatkan pengguna Android tentang aplikasi Android baru yang cerdas dan mengandung malware, berbentuk System Update.
Dikutip Tech Xplore, Minggu, 28 Maret 2021, malware ini dapat mencuri data, gambar, pesan dan merebut kendali atas seluruh ponsel Android. Setelah mengambil kendali, peretas atau hacker, bahkan bisa merekam audio dan panggilan telepon, melihat riwayat browser, mengambil foto dan mengakses pesan WhatsApp.
Peneliti zLabs menemukan dugaan aplikasi Pembaruan Sistem ini setelah mendeteksi aplikasi yang ditandai mesin malware z9 yang mengaktifkan deteksi pada perangkat zIPS. Investigasi menunjukkan aktivitas ini untuk melacak kampanye spyware canggih dengan kemampuan yang rumit.
Raksasa teknologi Google juga mengkonfirmasi bahwa aplikasi semacam itu tidak pernah ada atau direncanakan untuk dirilis di Google Play.
Dengan daftar ekstensif kemampuan kompromi, malware ini dapat mencuri pesan dari sistem instant messenger, termasuk file database pengguna menggunakan root, memeriksa bookmark dan pencarian browser default, riwayat pencarian dari Google Chrome, Mozilla Firefox dan browser Internet Samsung, mencari file dengan ekstensi khusus .doc, .docx, .pdf, .xls dan .xlsx.
Dikutip dari Tempo.co, Malware itu juga bisa memeriksa data clipboard dan konten pemberitahuan, mengambil foto berkala melalui kamera depan atau belakang, melihat aplikasi diinstal, mencuri gambar dan video, memantau melalui GPS, mencuri kontak telepon dan pesan SMS. Serta log panggilan dan informasi perangkat exfiltrate seperti nama perangkat dan penyimpanan data.
Selain itu, malware ini bahkan dapat menyembunyikan dirinya sendiri dari menu perangkat. Malware ini bekerja dengan menjalankan Firebase Command and Control (C&C) setelah penginstalan dari toko aplikasi pihak ketiga non-Google, yang tercantum di bawah nama “update” dan “refreshAllData”.
Untuk meningkatkan legitimasinya, aplikasi berisi informasi fitur seperti keberadaan WhatsApp, persentase baterai, statistik penyimpanan, jenis koneksi Internet dan token layanan perpesanan Firebase. Setelah pengguna memilih untuk “memperbarui” informasi yang ada, aplikasi menyusup ke perangkat yang terpengaruh.
Saat komunikasi Firebase membuat perintah yang diperlukan, server C&C khusus menggunakan permintaan POST untuk mengumpulkan data yang dicuri. Tindakan penting yang memicu eksfiltrasi oleh aplikasi termasuk menambahkan kontak baru, menginstal aplikasi baru melalui contentObserver Android atau menerima SMS baru. (mil)
