Malware Penagihan ‘Dark Herring’ Berenang ke 105 juta Perangkat Android

Hampir 500 aplikasi berbahaya yang bersembunyi di Google Play Store telah berhasil menginstal malware Dark Herring — pencuri uang tunai yang dimaksudkan untuk menambahkan biaya licik ke tagihan operator seluler — di lebih dari 100 juta perangkat Android di seluruh dunia.

Itu benar-benar sekolah ikan.

Dark Malware herring ditemukan oleh tim peneliti dengan Zimperium, yang memperkirakan jumlah kampanye yang mampu mencuri total ratusan juta, dengan peningkatan $15 per bulan per korban. Google sejak itu telah menghapus semua 470 aplikasi berbahaya dari Play Store, dan perusahaan tersebut mengatakan bahwa layanan penipuan sedang tidak aktif, tetapi setiap pengguna dengan salah satu aplikasi yang sudah diinstal masih dapat menjadi korban secara aktif di kemudian hari. Aplikasi ini masih tersedia di toko aplikasi pihak ketiga juga.

Konsumen di seluruh dunia, terutama di daerah yang tidak memiliki rekening bank, mengandalkan tagihan operator langsung (DCB) sebagai metode pembayaran seluler, yang menambahkan biaya untuk layanan non-telekomunikasi ke pelanggan tagihan telepon bulanan. Ini adalah target yang menarik bagi musuh.

Dalam kasus ini, tagihan $15 yang salah belum tentu cukup bagi pengguna akhir untuk menyadarinya selama beberapa bulan, tetapi dikalikan di lebih dari 100 juta akun, keuntungan yang didapat dengan cepat bertambah, laporan menjelaskan.

“Statistik unduhan mengungkapkan bahwa lebih dari 105 juta perangkat Android telah menginstal malware ini, menjadi korban kampanye ini secara global, berpotensi menderita kerugian finansial yang tak terhitung,” kata laporan Zimperium. “Kelompok penjahat dunia maya di balik kampanye ini telah membangun aliran dana gelap yang stabil dari para korban ini, menghasilkan jutaan pendapatan berulang setiap bulan, dengan jumlah total yang dicuri berpotensi mencapai ratusan juta.”

Kampanye ini pertama kali terdeteksi pada bulan Maret. tahun 2020 dan berjalan secara aktif hingga November lalu, kata laporan itu.

Analis Zimperium yang mengidentifikasi Dark Herring mengatakan bahwa scamware kemungkinan besar dilakukan oleh kelompok baru, yang menggunakan teknik dan infrastruktur baru.

Dominasi Dunia Dark Herring 

Kemenangan Dark Herring adalah hasilnya kombinasi taktik cerdas, kata para analis; yaitu, penggunaan penargetan geografis untuk mengirimkan aplikasi dalam bahasa asli korban.

“Trik rekayasa sosial ini sangat berhasil dan efektif karena pengguna umumnya lebih nyaman berbagi informasi ke situs web dalam bahasa lokal mereka,” tim ditambahkan. “Kampanye ini sangat serbaguna, menargetkan pengguna ponsel dari 70+ negara dengan mengubah bahasa aplikasi, dan menampilkan konten sesuai dengan alamat IP pengguna saat ini.”

Grup di belakang Dark Herring juga berhasil mempertahankan 470 aplikasi berkualitas tinggi yang lolos pengumpulan aplikasi resmi, yang menunjukkan bahwa ini adalah operasi yang canggih, catat para analis. Semua aplikasi berfungsi seperti yang diiklankan, dan tersebar di berbagai kategori.
Sumber: Zimperium.

“Memproduksi sejumlah besar aplikasi berbahaya dan mengirimkannya ke toko aplikasi menunjukkan upaya bersama yang ekstensif oleh kelompok yang terorganisir dengan baik, ” laporan itu menjelaskan. “Aplikasi ini bukan hanya kloning satu sama lain atau aplikasi lain, tetapi diproduksi secara unik dengan kecepatan tinggi untuk menipu perangkat keamanan tradisional dan calon korban.”

Selain infrastruktur yang kuat, kampanye Dark Herring menggunakan proxy sebagai URL tahap pertama untuk membantu menghindari deteksi; dan berkat kemampuan penargetan geografis tersebut, dapat mempersempit pencarian korban yang paling utama.

Misalnya, penyerang cenderung fokus pada pengguna di negara-negara dengan perlindungan konsumen yang kurang ketat untuk pengguna telekomunikasi, termasuk Mesir, Finlandia, India, Pakistan dan Swedia, para peneliti menemukan.
Sumber: Zimperium.

“Karena sifat DCB, beberapa negara mungkin menjadi sasaran dengan kurang sukses daripada yang lain karena perlindungan konsumen yang ditetapkan oleh perusahaan telekomunikasi,” kata laporan itu.

Antara Gills

On the sisi teknis, setelah aplikasi Android diinstal dan diluncurkan, URL tahap pertama dimuat ke tampilan web, yang di-host di Cloudfront, kata para peneliti. Malware kemudian mengirimkan permintaan GET awal ke URL tersebut, yang mengirimkan kembali respons yang berisi tautan ke file JavaScript yang dihosting di instance cloud Amazon Web Services.

Aplikasi kemudian mengambil sumber daya ini, yang diperlukan untuk melanjutkan proses infeksi — dan khususnya, untuk mengaktifkan penargetan geografis.

“Salah satu file JavaScript menginstruksikan aplikasi untuk mendapatkan pengidentifikasi unik untuk perangkat dengan membuat permintaan POST ke titik akhir API “live/keylookup” dan kemudian membuat URL tahap akhir,” menurut analisis. “Variabel baseurl digunakan untuk membuat permintaan POST yang berisi pengidentifikasi unik yang dibuat oleh aplikasi, untuk mengidentifikasi perangkat dan detail bahasa dan negara.”

Respons dari URL tahap akhir itu berisi konfigurasi yang akan digunakan aplikasi untuk mendikte perilakunya, berdasarkan rincian korban. Berdasarkan konfigurasi ini, halaman web seluler ditampilkan kepada korban, meminta mereka untuk mengirimkan nomor telepon mereka untuk mengaktifkan aplikasi (dan biaya DCB). Halaman ini disesuaikan dalam hal bahasa teks, bendera yang ditampilkan dan kode negara.

Berkat aliran pendapatan yang stabil, Dark Herring adalah operasi yang didanai dengan baik. “Bukti juga menunjukkan investasi keuangan yang signifikan dari aktor jahat dalam membangun dan memelihara infrastruktur untuk menjaga penipuan global ini beroperasi dengan kecepatan tinggi,” kata laporan itu.

Mengingat pencapaiannya yang jelas, Zimperium mengatakan bahwa tampaknya tidak mungkin ini akan menjadi yang terakhir didengar komunitas keamanan siber dari grup kejahatan siber ini.