Peneliti Menandai 300K Infeksi Trojan Perbankan dari Google Play dalam 4 Bulan

Mengatasi pembatasan aplikasi Google Play, penyerang telah berhasil mengumpulkan lebih dari 300.000 instalasi trojan perbankan hanya dalam empat bulan terakhir di pasar aplikasi Android resmi.

Peneliti dari Threat Fabric melaporkan bahwa kelompok ancaman ini telah mengasah kemampuan mereka untuk menggunakan Google Play untuk menyebarkan perbankan trojan dengan mengecilkan jejak aplikasi penetes mereka, menghilangkan jumlah izin yang mereka minta, meningkatkan kualitas serangan secara keseluruhan dengan kode yang lebih baik dan membangun situs web pendamping yang meyakinkan.

Droppers adalah aplikasi yang bertindak sebagai implan tahap pertama, yang tugasnya adalah untuk mengambil dan menginstal muatan akhir lainnya — dalam hal ini, trojan perbankan. Laporan tersebut menawarkan contoh kecerdikan penyerang siber dalam menyelipkan ini ke Google Play: Aplikasi penetes yang menyamar sebagai layanan kebugaran dengan situs back-end yang sebenarnya berfungsi untuk dicocokkan.

“Untuk membuat diri mereka semakin sulit dideteksi, aktor di balik ini aplikasi dropper hanya secara manual mengaktifkan instalasi trojan perbankan pada perangkat yang terinfeksi jika mereka menginginkan lebih banyak korban di wilayah tertentu di dunia, ”tambah peneliti Threat Fabric. “Ini membuat deteksi otomatis menjadi strategi yang jauh lebih sulit untuk diadopsi oleh organisasi mana pun.”

Semua 300.000 instalasi trojan perbankan-trojan berasal dari empat keluarga malware, menurut laporan: Anatsa (200.000+ pemasangan); Alien (95.000+) dan Hydra/Ermac (15.000+).

Anasta Menginstal

Anasta actor pertama kali diamati oleh Threat Fabric menggunakan aplikasi penetes malware Google Play pada Januari 2021, kata laporan itu. Trojan perbankan Anasta melakukan semuanya — pencurian kredensial, keylogging, dan bahkan menangkap apa yang ditampilkan di layar pengguna. Para analis menemukan enam dropper terpisah di Google Play yang menyebabkan infeksi Anasta, termasuk scammer kode QR scam, pemindai PDF, dan aplikasi cryptocurrency, secara kolektif mencapai lebih dari 100.000 instalasi, mereka melaporkan.
Sumber: Fabric Ancaman.

Setelah aplikasi diunduh dan diinstal dari Google Play, untuk melanjutkan, pengguna harus mengizinkan pembaruan, yang merupakan malware Anatsa.

“Aktor di baliknya berhati-hati dalam membuat aplikasi mereka terlihat sah dan berguna,” kata para analis. “Ada banyak ulasan positif untuk aplikasi. Jumlah penginstalan dan keberadaan ulasan dapat meyakinkan pengguna Android untuk menginstal aplikasi. Selain itu, aplikasi ini memang memiliki fungsi yang diklaim, setelah penginstalan mereka beroperasi secara normal dan selanjutnya meyakinkan korban akan legitimasinya.”

Hydra, Ermac, dan Alien Installs  

Threat group Brunhilda diamati menggunakan aplikasi kode QR palsu untuk mendistribusikan malware Hydra dan Ermac keluarga, tambah laporan itu.

And, aplikasi penetes bernama “GymDrop” menggunakan pesan “pembaruan latihan” untuk mengelabui korban agar mengunduh trojan perbankan Alien.

“Sampel Alien dari kampanye ini terhubung ke C2 yang sama dengan sampel dari kampanye yang dijelaskan sebelumnya diberdayakan oleh Brunhilda dropper,” kata laporan itu.

Seiring berkembangnya grup ini, mereka mampu mengembangkan pekerjaan yang efektif seputar deteksi pembelajaran mesin dan otomatis, laporan tersebut menjelaskan.

Sementara Google Play terus bersikap reaktif dalam pendekatannya untuk menghilangkan ini pelaku kejahatan, ada batasan jumlah perlindungan yang dapat diberikan kepada pengguna, John Bambenek, pemburu ancaman utama di Netenrich mengatakan kepada Threatpost.

“Hanya ada begitu banyak perlindungan yang dapat Anda miliki ketika toko aplikasi secara inheren reaktif dalam mendeteksi aplikasi yang kasar,” kata Bambenek. “Manfaat yang sama yang dimiliki pengembang aplikasi dalam memilih ekosistem Android adalah manfaat yang sama yang akan digunakan penjahat.”

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep utama pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost LANGSUNG dan interaktif ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

Daftar SEKARANG untuk acara LANGSUNG!

 
Tulis komentar
Bagikan artikel ini:

  • Malwareliu
      iKeamanan Seluler
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: