REPUBLIKA.CO.ID, JAKARTA – Salah satu trojan yang harus diwaspadai saat ini adalah SharkBot. SharkBot merupakan trojan perbankan yang telah aktif sejak Oktober 2021.
Malware tersebut ditemukan pada akhir Oktober oleh para peneliti dari perusahaan keamanan siber Cleafy dan ThreatFabric. Nama SharkBot berasal dari salah satu domain yang digunakan untuk server perintah dan kontrolnya.
Menurut para peneliti, SharkBot menargetkan pengguna ponsel bank di Italia, Inggris, dan Amerika Serikat (AS). Jenis trojan ini memungkinkan untuk membajak perangkat seluler pengguna dan mencuri dana dari perbankan daring serta akun cryptocurrency.
SharkBot mampu melakukan transaksi tidak sah melalui Automatic Transfer Systems (ATS), teknik serangan canggih yang tidak umum dalam malware Android. ATS memungkinkan penyerang untuk mengisi kolom secara otomatis di aplikasi mobile banking yang sah dan memulai transfer uang tanpa intervensi operator langsung untuk mengotorisasi transaksi.
Para peneliti menunjukkan teknik ini memungkinkan malware untuk menerima daftar peristiwa yang akan disimulasikan, memungkinkan penyerang untuk mengotomatisasi dan meningkatkan operasi mereka.
“Fitur ATS memungkinkan malware untuk menerima daftar peristiwa yang akan disimulasikan dan mereka akan disimulasikan untuk melakukan transfer uang. Karena fitur ini dapat digunakan untuk mensimulasikan sentuhan atau klik dan penekanan tombol, ini dapat digunakan tidak hanya untuk mentransfer uang secara otomatis tetapi juga menginstal aplikasi atau komponen berbahaya lainnya,” kata peneliti dalam laporan yang diterbitkan oleh NCC Group.
Para ahli menemukan versi trojan SharkBot yang diperkecil di Google Playstore resmi dan hanya mencakup fitur minimum yang diperlukan, seperti ATS. Malware tersebut didistribusikan melalui Google Playstore sebagai Antivirus palsu lalu menyalahgunakan fitur Android “Balasan langsung.”
Strategi penyebaran yang menyalahgunakan fitur “Balasan langsung” telah terlihat belum lama ini di malware perbankan lain bernama Flubot yang ditemukan oleh ThreatFabric. Berikut beberapa teknik yang digunakan SharkBot dalam upaya mencuri kredensial perbankan di Android:
-Injection (serangan overlay): SharkBot dapat mencuri kredensial dengan menunjukkan WebView dengan situs login palsu (phishing) segera setelah mendeteksi aplikasi perbankan resmi telah dibuka.
-Keylogging: Sharkbot dapat mencuri kredensial dengan mencatat peristiwa aksesibilitas, terkait dengan perubahan bidang teks dan tombol yang diklik dan mengirimkan log ini ke server perintah dan kontrol (C2).
-Penyadapan SMS: Sharkbot memiliki kemampuan untuk mencegat atau menyembunyikan pesan SMS.
-Remote control/ATS: Sharkbot memiliki kemampuan untuk mendapatkan kendali jarak jauh penuh dari perangkat Android melalui Layanan Aksesibilitas.
Pakar grup NCC telah membagikan daftar aplikasi tercemar yang diunggah ke Google Playstore yang telah diunduh puluhan ribu kali, yaitu:
1.Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner)
2.Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner)
3.Alpha Antivirus (com.pagnotto28.sellsourcecode.alpha)
4.Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner)