idNSA.id - Para peneliti telah menemukan trojan pencuri informasi baru, yang menargetkan perangkat Android dengan kemampuan eksfiltrasi data yang hebat - mulai dari mengumpulkan penelusuran browser hingga merekam audio dan panggilan telepon.
Kalau malware di Android sebelumnya menggunakan kedok aplikasi peniru, yang menggunakan nama mirip dengan perangkat lunak yang sah, aplikasi berbahaya baru yang canggih ini menyamar sebagai aplikasi “Pembaruan Sistem” untuk mengendalikan perangkat yang disusupi, dikutip dari postingan TheHackerNews.
"Spyware membuat pemberitahuan jika layar perangkat mati saat menerima perintah menggunakan layanan pesan Firebase," kata peneliti Zimperium. " Pada layar notifikasi akan muncul ‘Searching for update..’ ini bukanlah pemberitahuan sah dari sistem operasi, tetapi spyware."
Setelah diinstal, kampanye spyware yang canggih memulai tugasnya dengan mendaftarkan perangkat dengan server command-and-control (C2) Firebase dengan informasi seperti persentase baterai, statistik penyimpanan, dan apakah ponsel telah menginstal WhatsApp, diikuti dengan mengumpulkan dan mengekspor data apa pun yang menarik ke server dalam bentuk file ZIP terenkripsi.
"Fungsionalitas spyware dan eksfiltrasi data dipicu dalam berbagai kondisi, seperti kontak baru ditambahkan, SMS baru diterima atau, aplikasi baru dipasang dengan memanfaatkan contentObserver dan penerima Broadcast Android," kata para peneliti.
Terlebih lagi, malware tidak hanya mengatur data yang dikumpulkan ke dalam beberapa folder di dalam penyimpanan pribadinya, tetapi juga menghapus semua jejak aktivitas berbahaya dengan menghapus file ZIP segera setelah menerima pesan "berhasil" dari eksfiltrasi posting server C2.
Dalam upaya lebih lanjut untuk menghindari deteksi di bawah radar, spyware juga mengurangi konsumsi bandwidth dengan mengunggah thumbnail sebagai lawan dari gambar dan video sebenarnya yang ada di penyimpanan eksternal.
Meskipun aplikasi "Pembaruan Sistem" tidak pernah didistribusikan melalui Google Play Store resmi, penelitian sekali lagi menyoroti bagaimana toko aplikasi pihak ketiga dapat menyimpan malware berbahaya. Identitas pembuat malware, korban yang ditargetkan, dan motif utama di balik kampanye tersebut masih belum jelas.
