REPUBLIKA.CO.ID, JAKARTA – Peneliti Keamanan ThreatFabric menemukan trojan baru awal bulan ini. Trojan tersebut dijuluki Xenomorph karena hubungannya dengan malware Alien yang mulai beredar pada musim gugur tahun 2020.
Meskipun kodenya mirip dengan Alien, Xenomorph dinilai lebih kapabel. Menurut ThreatFabric, lebih dari 50 ribu pengguna Android telah menginstal aplikasi berbahaya yang mengandung malware aplikasi perbankan. Pelaku ancaman di balik malware tersebut dilaporkan menargetkan pengguna 56 bank berbeda di Eropa.
Malware aplikasi perbankan Xenomorph ditemukan
Seperti yang dicatat ThreatFabric, peretas selalu menemukan cara baru untuk mendistribusikan perangkat lunak berbahaya melalui Google Playstore. Salah satu contoh terbaru adalah aplikasi Fast Cleaner yang diklaim mampu mempercepat ponsel Android. Namun pada kenyataannya, Fast Cleaner adalah malware aplikasi perbankan Xenomorph.
“Setelah dianalisis, kami mengenali aplikasi ini sebagai milik keluarga Gymdrop. Gymdrop adalah dropper yang ditemukan oleh ThreatFabric pada November 2021,” kata ThreatFabric.
Sebelumnya, Gymdrop menyebarkan muatan Alien. ThreatFabric mengonfirmasi bahwa keluarga dropper ini terus mengadopsi keluarga malware sebagai muatannya. Namun, bertentangan dengan masa lalu, server yang menghosting kode berbahaya juga berisi dua keluarga malware lain. Selain mendistribusikan trojan Alien dan Exobot, aplikasi ini juga berisi keluarga malware baru.
Apa yang bisa dilakukan Xenomorph?
Dikutip BGR, Jumat (4/3), ThreatFabric mengatakan Xenomorph masih dalam pengembangan, tetapi sudah mampu mendatangkan malapetaka. Tujuan utama malware adalah menggunakan serangan overlay untuk mencuri kredensial untuk aplikasi perbankan.
Selain itu, juga dapat mencegat teks dan pemberitahuan untuk masuk dan menggunakan token 2FA. ThreatFabric mencatat Xenomorph sengaja dirancang supaya dapat diskalakan dan diperbarui.
“Informasi yang disimpan oleh kemampuan logging malware ini sangat luas dan jika dikirim kembali ke server C2, dapat digunakan untuk menerapkan keylogging, serta mengumpulkan data perilaku korban,” kata peneliti ThreatFabric.
Seperti kebanyakan malware aplikasi perbankan lainnya, Xenomorph bergantung pada pengguna yang memberikan akses ke perangkat mereka. Setelah menginfeksi perangkat, malware akan meminta hak aksesibilitas Layanan. Jika mendapatkan hak istimewa itu, ia dapat mencatat semua yang terjadi di perangkat.
Sejauh ini, malware tersebut menargetkan pengguna di Spanyol, Portugal, Italia, dan Belgia. Meskipun masih dalam tahap awal pengembangan, para peneliti mengatakan itu memiliki banyak potensi yang belum dilihat.
Saat ini, Xenomorph mampu menyalahgunakan Layanan Aksesibilitas untuk mencuri informasi pengenal pribadi korban yang tidak sadar, mencegah penghapusan instalasi dan mencegat SMS dan notifikasi.