BerandaNews.com, Jakarta – Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap kampanye malware Android baru di mana pelaku kejahatan siber menyebarkan Trojan BeatBanker dengan menyamar sebagai aplikasi Starlink untuk Android.
Pelaku terutama menargetkan pengguna dari Brasil; namun demikian, para ahli Kaspersky tidak mengesampingkan kemungkinan bahwa pengguna dari negara lain juga dapat menghadapi ancaman ini.
Trojan ini menggunakan penambang aset kripto Monero dan juga menginstal alat administrasi jarak jauh (RAT) BTMOB pada perangkat yang terinfeksi. Untuk mempertahankan persistensinya, BeatBanker menggunakan mekanisme tidak biasa yang melibatkan file audio berulang yang hampir tidak terdengar.
“Awalnya kami melihat BeatBanker didistribusikan dengan kedok aplikasi layanan publik; aplikasi ini menginstal Trojan perbankan selain penambang kripto. Namun, upaya deteksi terbaru kami mengungkap kampanye baru dengan varian BeatBanker lain yang menyebarkan RAT BTMOB alih-alih modul perbankan. Para penyerang tampaknya menggunakan umpan baru dengan aplikasi Starlink untuk menjangkau lebih banyak korban dari berbagai negara. Oleh karena itu, penting bagi pengguna untuk tetap waspada dan menggunakan solusi canggih untuk melindungi ponsel pintar mereka,” komentar Fabio Assolini, Kepala unit Amerika & Eropa di Kaspersky GReAT.
Vektor infeksi awal
Para ahli Kaspersky percaya bahwa pelaku kejahatan siber mendistribusikan aplikasi Starlink palsu yang berisi Trojan BeatBanker melalui halaman phishing yang meniru Google Play Store. Setelah dieksekusi pada perangkat yang disusupi, Trojan menampilkan antarmuka pengguna yang juga meniru Google Play.
Penyerang menipu korban untuk memberikan izin instalasi, sehingga memungkinkan pengunduhan muatan berbahaya tersembunyi tambahan.
Penambangan Kripto dan Modul RAT BTMOB
Ketika pengguna mengklik PERBARUI di halaman Google Play palsu, penambang kripto Monero akan dijalankan. BeatBanker memantau persentase baterai dan suhu ponsel pintar yang terinfeksi, serta aktivitas pengguna, setelah itu penambang kripto tersembunyi akan dimulai atau dihentikan.
Trojan Android ini juga menginstal RAT BTMOB pada perangkat yang terinfeksi. BTMOB memungkinkan kendali jarak jauh penuh dan dijual sebagai Malware-as-a-Service. Ia mampu memberikan izin secara otomatis, menyembunyikan notifikasi sistem, dan memiliki mekanisme yang dirancang untuk menangkap kredensial kunci layar, termasuk PIN, pola, dan kata sandi pada perangkat yang terinfeksi. Malware ini juga memberi penyerang akses ke kamera depan dan belakang, pemantauan lokasi GPS, dan pengumpulan data sensitif secara terus-menerus.
Untuk memastikan persistensi dan menghambat penghapusan instalasi, BeatBanker mempertahankan notifikasi tetap di latar depan dan mengaktifkan layanan latar depan dengan pemutaran media senyap. Taktik ini dirancang untuk mencegah sistem operasi menghapus proses berbahaya tersebut.
Produk Kaspersky mendeteksi ancaman ini sebagai HEUR:Trojan-Dropper.AndroidOS.BeatBanker dan HEUR:Trojan-Dropper.AndroidOS.Banker.*.
Untuk tetap terlindungi dari ancaman seluler, Kaspersky merekomendasikan hal berikut:
- Unduh aplikasi hanya dari toko aplikasi resmi untuk ponsel pintar, seperti Apple App Store dan Google Play, tetapi ingat bahwa mengunduh aplikasi dari toko resmi pun tidak selalu bebas risiko.
- Selalu periksa ulasan aplikasi, hanya gunakan tautan dari situs web resmi, dan instal perangkat lunak keamanan yang andal, seperti Kaspersky Premium, yang dapat mendeteksi dan memblokir aktivitas berbahaya jika aplikasi tersebut ternyata palsu.
- Periksa izin aplikasi yang Anda gunakan dan pertimbangkan dengan cermat sebelum mengizinkan aplikasi, terutama untuk izin berisiko tinggi seperti Layanan Aksesibilitas.
- Perbarui sistem operasi dan aplikasi penting Anda saat pembaruan tersedia. Banyak masalah keamanan dapat diatasi dengan menginstal versi perangkat lunak yang diperbarui.
