Jocker, Fleeceware Lainnya Kembali Ke Google Play

Jocker, Fleeceware Lainnya Kembali Ke Google Play


Beberapa Trojan seluler Android beredar di alam liar yang secara diam-diam mendaftarkan pengguna ke layanan berbayar dan mengambil potongan untuk scammers dari uang yang ditagih. Banyak dari ini menyiasati langkah-langkah keamanan toko aplikasi resmi Google Play.

Para peneliti dari Kaspersky yang telah melacak apa yang disebut ancaman “fleeceware” selama beberapa bulan terakhir ini mengatakan malware sering kali mampu melewati mekanisme deteksi bot di situs untuk layanan berbayar, dan bahkan dapat membuat pengguna perangkat seluler yang tidak curiga menjadi scammer. ‘ memiliki layanan yang tidak ada.

Malware sering disembunyikan di dalam aplikasi seluler yang tidak berbahaya seperti aplikasi perawatan kesehatan, editor foto, dan recreation populer di toko aplikasi seluler Google Play dan toko lainnya. Aplikasi yang dipersenjatai terus muncul kembali hampir secepat mereka terdeteksi dan dihapus, kata Kaspersky.

Banyak aplikasi meminta izin untuk mengakses notifikasi dan pesan pengguna. Jika izin tersebut diberikan, malware kemudian memotong dan membajak pesan yang berisi kode konfirmasi untuk langganan mereka, sehingga membuat pengguna tidak menyadari bahwa mereka baru saja berlangganan layanan berbayar.

Dalam sebuah laporan, Kaspersky menyoroti empat yang paling banyak tersebar Trojan dalam kategori ini yang telah diamati dalam beberapa bulan terakhir — Jocker (alias Joker), MobOk, GriftHorse.l, dan Vesub. Vendor memperkirakan 70% pengguna perangkat Android telah menemukan Trojan berlangganan seperti ini di beberapa titik.

Empat dari yang Terburuk
Kaspersky mengidentifikasi MobOk sebagai yang paling aktif dari empat ancaman. Malware ini pertama kali terlihat dalam aplikasi yang terinfeksi di Google Play, tetapi baru-baru ini terlihat didistribusikan sebagai muatan Triada — Trojan seluler lain yang sering disembunyikan di dalam aplikasi sistem yang sudah diinstal sebelumnya di beberapa ponsel cerdas. Kaspersky mengatakan telah mengamati malware di toko aplikasi seluler APK Pure Android, tersembunyi di dalam apa yang digambarkan vendor sebagai modifikasi WhatsApp Messenger yang banyak digunakan.

Setelah diinstal pada sistem, MobOk bekerja dengan membuka halaman berlangganan ke layanan berbayar di jendela yang tidak terlihat. Jika malware telah diberikan akses ke layanan notifikasi pengguna, malware akan memotong kode konfirmasi apa pun yang mungkin dikirimkan oleh layanan berbayar ke perangkat dan menggunakannya untuk mengonfirmasi langganan. Salah satu fitur yang membedakan MobOk dari Trojan seluler lainnya adalah kemampuannya untuk memecahkan CAPTCHA di situs berlangganan, kata Kaspersky. Sejumlah infeksi MobOk yang diamati vendor berada di Rusia, diikuti oleh India dan Indonesia.

Jocker, sementara itu, adalah malware yang baru-baru ini ditemukan Kaspersky tersembunyi di dalam aplikasi perpesanan, perangkat lunak pemantauan tekanan darah, aplikasi pemindaian dokumen, dan produk lainnya di Google Play. Jocker adalah ancaman seluler yang sudah lama dikenal yang terus mengubah taktiknya untuk terus menyusup ke toko aplikasi resmi.

Dalam banyak kasus, penipu mengunduh versi sah dari aplikasi ini dari toko aplikasi Google, lalu memasukkan kode Jocker ke dalamnya dan mengunggahnya kembali ke toko dengan nama yang berbeda, kata Kaspersky. Malware dikodekan untuk tetap tidak aktif selama proses pemeriksaan aplikasi Google tetapi menjadi aktif saat aplikasi ditayangkan. Seperti MobOk, Jocker juga dirancang untuk mencegat pesan teks atau pemberitahuan yang berisi kode konfirmasi dan menggunakannya untuk mendaftarkan pengguna ke layanan berlangganan berbayar tanpa sepengetahuan mereka.

Versi malware saat ini menggunakan proses pengunduhan bertahap — melibatkan empat file — untuk menginstal komponen terakhir malware pada sistem pengguna akhir. Itu mengadopsi teknik untuk mencoba menghindari mekanisme pendeteksian malware, catat Kaspersky. Peneliti dari perusahaan mengamati malware yang paling sering digunakan terhadap pengguna Android di Arab Saudi, Polandia, dan Jerman.

Vesub, sementara itu, adalah malware seluler yang dapat ditemui pengguna Android di toko aplikasi tidak resmi. Malware tersembunyi di dalam versi palsu dari aplikasi recreation populer yang sebenarnya tidak mengandung fungsi yang sah. Saat diinstal, malware langsung mencoba untuk mulai membuat pengguna berlangganan layanan berbayar, sementara yang dilihat pengguna hanyalah jendela yang menunjukkan bahwa aplikasi masih dimuat. Seperti kebanyakan Trojan langganan, Vesub hanya berfungsi jika telah diberikan izin untuk mengakses pesan teks atau notifikasi. Kaspersky menemukan malware menjadi dominan di Mesir, Thailand, dan Malaysia.

Dan terakhir, GriftHorse.l berbeda dari malware lainnya karena ia membuat pengguna berlangganan layanan berbayar pembuat malware itu sendiri, seperti aplikasi yang menjanjikan untuk membawa pengguna pada rencana penurunan berat badan dengan biaya tertentu. Pengguna yang mendaftar untuk paket ini sering melakukannya tanpa menyadari bahwa mereka mendaftar ke layanan dengan pembayaran berkala dan penagihan otomatis, kata Kaspersky.

Ioannis Gasparis, peneliti intelijen keamanan staf di Lookout, mengatakan keluarga malware yang diidentifikasi Kaspersky memang beberapa ancaman yang lebih umum bagi pengguna ponsel selama enam hingga 12 bulan terakhir, Jocker, (yang disebut oleh Lookout sebagai Joker), agak lebih tua tapi masih sangat relevan, menurut Gasparis.

“Dalam pengamatan kami, penipuan tol telah bangkit kembali selama satu hingga dua tahun terakhir, terutama didorong oleh sejumlah kecil keluarga malware yang didorong secara agresif oleh aktor jahat,” katanya. “Dampak pada korban terutama finansial dan tergantung pada layanan penipuan yang membuat pengguna berlangganan oleh malware.”

Richard Melick, direktur pelaporan ancaman di Zimperium, mengatakan malware seperti ini tidak boleh dianggap sebagai ancaman khusus konsumen.

“Organisasi dari semua ukuran harus mulai menyadari bahwa tidak ada yang namanya ancaman khusus konsumen di dunia BYOD,” katanya, dalam komentar electronic mail. “Setiap kali Jocker dan malware lama lainnya melakukan pembaruan, mereka terus membahayakan information penting, layanan, dan permukaan serangan.”

Tim keamanan perlu memastikan bahwa mereka memiliki jenis arsitektur keamanan yang sama untuk titik akhir seluler seperti yang mereka miliki untuk perangkat tradisional.

Baik Google dan Apple telah menerapkan berbagai tindakan selama bertahun-tahun untuk mencegah scammer mengunggah malware ke toko aplikasi seluler masing-masing. Sementara langkah-langkah tersebut telah membantu membatasi aplikasi berbahaya sampai batas tertentu, vendor keamanan terus menemukan malware di toko-toko ini secara teratur. Bulan lalu, misalnya, Google bergegas untuk menghapus setidaknya enam aplikasi yang menyamar sebagai alat antivirus yang sah yang pada kenyataannya digunakan untuk menjatuhkan Trojan perbankan bernama SharkBot. Test Level memperkirakan alat malware diunduh lebih dari 15.000 kali sebelum Google menghapusnya dari Google Play.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts