Trojan Perbankan Android Zanubis Menyamar Sebagai Aplikasi Pemerintah Peru untuk Menargetkan Pengguna

idNSA.id - Trojan perbankan Android baru yang disebut Zanubis kini menyamar sebagai aplikasi pemerintah Peru untuk mengelabui pengguna yang tidak menaruh curiga agar menginstal malware.

"Jalur infeksi utama Zanubis adalah dengan meniru aplikasi Android Peru yang sah dan kemudian mengelabui pengguna untuk mengaktifkan izin Aksesibilitas untuk mengambil kendali penuh atas perangkat," kata Kaspersky dalam analisis yang diterbitkan minggu lalu.

Zanubis, yang pertamakali di dokumentasikan pada Agustus 2022, merupakan tambahan terbaru dalam daftar panjang malware bankir Android yang menargetkan wilayah Amerika Latin (LATAM). Targetnya mencakup lebih dari 40 bank dan entitas keuangan di Peru.

Zanubis dikenal karena menyalahgunakan izin akses pada perangkat yang terinfeksi untuk menampilkan layar hamparan palsu di atas aplikasi yang ditargetkan dalam upaya mencuri kredensial. Zanubis juga mampu memanen data kontak, daftar aplikasi yang terinstal, dan metadata sistem.

Kaspersky mengatakan bahwa pihaknya mengamati sampel Zanubis baru-baru ini di alam liar pada bulan April 2023, yang beroperasi di bawah kedok badan bea cukai dan pajak Peru bernama Superintendencia Nacional de Aduanas y de Administración Tributaria (SUNAT).

Menginstal aplikasi dan memberikan izin aksesibilitas memungkinkan aplikasi ini berjalan di latar belakang dan memuat situs web SUNAT yang asli menggunakan WebView Android untuk menciptakan lapisan legitimasi. Aplikasi ini mempertahankan koneksi ke server yang dikendalikan oleh aktor untuk menerima perintah tahap berikutnya melalui WebSockets.

Izin selanjutnya dimanfaatkan untuk mengawasi aplikasi yang sedang dibuka di perangkat dan membandingkannya dengan daftar aplikasi yang ditargetkan. Jika sebuah aplikasi dalam daftar diluncurkan, Zanubis akan mencatat penekanan tombol atau merekam layar untuk menyedot data sensitif.

Yang membedakan Zanubis dan membuatnya lebih kuat adalah kemampuannya untuk berpura-pura menjadi pembaruan sistem operasi Android, yang secara efektif membuat perangkat tidak dapat digunakan.

"Saat 'pembaruan' berjalan, ponsel tetap tidak dapat digunakan sampai-sampai tidak dapat dikunci atau dibuka, karena malware memonitor upaya-upaya tersebut dan memblokirnya," kata Kaspersky.

Perkembangan ini terjadi ketika AT&T Cybersecurity merinci trojan akses jarak jauh (RAT) berbasis Android lainnya yang dijuluki MMRat yang mampu menangkap input pengguna dan konten layar, serta perintah dan kontrol.

"RAT merupakan pilihan populer bagi peretas untuk digunakan karena kemampuannya yang beragam, mulai dari pengintaian dan eksfiltrasi data hingga bertahan dalam jangka panjang," ujar perusahaan tersebut.