Ancaman Malware di Sektor Digital
Hacker Android kini menargetkan lebih dari 800 aplikasi di sektor perbankan, cryptocurrency, dan media sosial. Perusahaan keamanan siber Zimperium melaporkan bahwa penelitinya telah mengidentifikasi empat keluarga malware aktif yang menggunakan infrastruktur command-and-control canggih untuk mencuri kredensial, melakukan transaksi keuangan yang tidak sah, dan mengekstrak data dalam skala besar.
“Secara kolektif, kampanye ini menargetkan lebih dari 800 aplikasi di sektor perbankan, cryptocurrency, dan media sosial. Dengan menggunakan teknik anti-analisis yang canggih dan pemalsuan struktur APK, keluarga malware ini sering kali mempertahankan tingkat deteksi mendekati nol terhadap mekanisme keamanan berbasis tanda tangan tradisional,” ungkap Zimperium.
Keluarga Malware yang Teridentifikasi
Keempat keluarga malware tersebut adalah RecruitRat, SaferRat, Astrinox, dan Massiv. Penyerang umumnya mengandalkan situs phishing, tawaran pekerjaan palsu, pembaruan perangkat lunak yang tidak sah, penipuan melalui pesan teks, dan umpan promosi untuk meyakinkan korban agar menginstal aplikasi Android berbahaya.
Metode Serangan dan Dampaknya
Setelah terinstal, malware dapat:
- Meminta izin Aksesibilitas
- Menyembunyikan ikon aplikasi
- Memblokir upaya pencopotan
- Mencuri PIN dan kata sandi melalui layar kunci palsu
- Menangkap kode akses sekali pakai
- Menyiarkan layar perangkat secara langsung
- Menampilkan halaman login palsu di aplikasi perbankan atau cryptocurrency yang sah
“Serangan overlay tetap menjadi dasar dari siklus pengumpulan kredensial. Dengan menggunakan Layanan Aksesibilitas untuk memantau aplikasi yang sedang aktif, malware dapat mendeteksi momen tepat ketika korban meluncurkan aplikasi keuangan. Malware kemudian mengambil muatan HTML berbahaya dan menumpuknya di atas antarmuka pengguna aplikasi yang sah, menciptakan fasad yang sangat meyakinkan dan menipu,” tambah perusahaan tersebut.
Strategi Penghindaran Deteksi
Zimperium juga menyatakan bahwa kampanye ini menggunakan komunikasi HTTPS dan WebSocket untuk mencampurkan lalu lintas berbahaya dengan aktivitas aplikasi normal, sementara beberapa varian menambahkan lapisan enkripsi tambahan untuk menghindari deteksi.
