Peneliti keamanan siber telah mengungkap varian baru trojan perbankan Android bernama TrickMo yang dilengkapi dengan kemampuan baru untuk menghindari analisis dan menampilkan layar masuk palsu untuk menangkap kredensial perbankan korban.
“Mekanismenya termasuk penggunaan file ZIP yang tidak sesuai format dengan kombinasi JSONPacker,” kata peneliti keamanan Cleafy Michele Roviello dan Alessandro Strino. “Selain itu, aplikasi diinstal melalui aplikasi dropper yang memiliki mekanisme antianalisis yang sama.”
“Fitur-fitur ini dirancang untuk menghindari deteksi dan menghalangi upaya profesional keamanan siber untuk menganalisis dan mengurangi malware.”
TrickMo, pertama kali tertangkap di alam liar oleh CERT-Bund pada bulan September 2019, memiliki sejarah menargetkan perangkat Android, khususnya menargetkan pengguna di Jerman untuk mencuri kata sandi satu kali (OTP) dan kode autentikasi dua faktor (2FA) lainnya untuk memfasilitasi penipuan finansial.
Malware yang difokuskan pada perangkat seluler tersebut dinilai merupakan hasil kerja kelompok kejahatan elektronik TrickBot yang sekarang sudah tidak beroperasi lagi, yang dari waktu ke waktu terus meningkatkan fitur pengaburan dan anti-analisisnya agar tidak terdeteksi radar.
Yang menonjol di antara fitur-fiturnya adalah kemampuannya untuk merekam aktivitas layar, mencatat penekanan tombol, memanen foto dan pesan SMS, mengendalikan perangkat yang terinfeksi dari jarak jauh untuk melakukan penipuan pada perangkat (ODF), dan menyalahgunakan API layanan aksesibilitas Android untuk melakukan serangan hamparan HTML serta melakukan klik dan gerakan pada perangkat.
Aplikasi dropper berbahaya yang ditemukan oleh perusahaan keamanan siber Italia menyamar sebagai peramban web Google Chrome yang, saat diluncurkan setelah instalasi, mendesak korban untuk memperbarui Layanan Google Play dengan mengklik tombol Konfirmasi.
Jika pengguna melanjutkan pembaruan, file APK yang berisi muatan TrickMo diunduh ke perangkat dengan kedok “Layanan Google”, setelah itu pengguna diminta mengaktifkan layanan aksesibilitas untuk aplikasi baru tersebut.
“Layanan aksesibilitas dirancang untuk membantu pengguna penyandang disabilitas dengan menyediakan cara alternatif untuk berinteraksi dengan perangkat mereka,” kata para peneliti. “Namun, ketika dieksploitasi oleh aplikasi jahat seperti TrickMo, layanan ini dapat memberikan kontrol yang luas atas perangkat tersebut.”
“Izin yang ditingkatkan ini memungkinkan TrickMo untuk melakukan berbagai tindakan jahat, seperti menyadap pesan SMS, menangani notifikasi untuk menyadap atau menyembunyikan kode autentikasi, dan menjalankan serangan overlay HTML untuk mencuri kredensial pengguna. Selain itu, malware dapat mengabaikan keyguard dan menerima izin secara otomatis, sehingga memungkinkannya untuk terintegrasi dengan lancar ke dalam operasi perangkat.”
Lebih jauh lagi, penyalahgunaan layanan aksesibilitas memungkinkan malware menonaktifkan fitur keamanan krusial dan pembaruan sistem, memberikan izin secara otomatis sesuai keinginan, dan mencegah pencopotan pemasangan aplikasi tertentu.
Analisis Cleafy juga mengungkap kesalahan konfigurasi pada server perintah dan kontrol (C2) yang memungkinkan akses ke data sensitif sebesar 12 GB yang diekstraksi dari perangkat, termasuk kredensial dan gambar, tanpa memerlukan autentikasi apa pun.
Server C2 juga menyimpan berkas HTML yang digunakan dalam serangan overlay. Berkas-berkas ini mencakup halaman login palsu untuk berbagai layanan, termasuk bank seperti ATB Mobile dan Alpha Bank serta platform mata uang kripto seperti Binance.
Kelemahan keamanan ini tidak hanya menyorot kesalahan keamanan operasional (OPSEC) dari pihak pelaku ancaman, tetapi juga menempatkan data korban pada risiko eksploitasi oleh pelaku ancaman lainnya.
Kekayaan informasi yang terekspos dari infrastruktur C2 TrickMo dapat dimanfaatkan untuk melakukan pencurian identitas, menyusup ke berbagai akun daring, melakukan transfer dana yang tidak sah, dan bahkan melakukan pembelian yang curang. Lebih buruk lagi, penyerang dapat membajak akun dan mengunci korban dengan menyetel ulang kata sandi mereka.
“Dengan menggunakan informasi dan gambar pribadi, penyerang dapat menyusun pesan meyakinkan yang mengelabui korban agar membocorkan informasi lebih banyak atau melakukan tindakan jahat,” catat para peneliti.
“Pemanfaatan data pribadi yang begitu komprehensif mengakibatkan kerugian finansial dan reputasi langsung serta konsekuensi jangka panjang bagi para korban, menjadikan pemulihan sebagai proses yang rumit dan berkepanjangan.”
Pengungkapan tersebut terjadi saat Google telah menambal lubang keamanan seputar sideloading untuk memungkinkan pengembang pihak ketiga menentukan apakah aplikasi mereka di-sideload menggunakan Play Integrity API dan, jika demikian, mengharuskan pengguna mengunduh aplikasi dari Google Play agar dapat terus menggunakannya.