JAKARTA - Trojan perbankan ERMAC ditemukan menyusup ke aplikasi Android yang sah untuk memikat pengguna agar menginstal malware yang sulit terdeteksi oleh alat keamanan alias anti virus, melalui penyedia layanan dark web pihak ketiga dijuluki Zombinder.
Para peneliti perusahaan keamanan siber ThreatFabric mempelajari Zombinder saat menyelidiki kampanye penyebaran malware lainnya menggunakan trojan perbankan ERMAC. Mereka, menargetkan pengguna Android dan Windows.
Penelitian itu menghasilkan bukti adanya kampanye yang mendistribusikan malware desktop termasuk Erbium, pencuri Aurora, dan clipper Laplas, bersama dengan ERMAC.
Saat menyelidiki aktivitas ERMAC, peneliti melihat kampanye menarik yang menyamar sebagai aplikasi untuk layanan streaming sepak bola hingga alat autentikator Wi-Fi. Paket malware yang terikat padanya juga membawa nama yang sama dengan aplikasi yang sah.
Itu didistribusikan melalui situs web satu halaman palsu yang hanya berisi dua tombol. Tombol-tombol ini bertindak sebagai tautan unduhan untuk versi Android dari aplikasi dummy yang dikembangkan ERMAC, yang tidak berguna bagi pengguna akhir tetapi dirancang untuk mencatat penekanan tombol, serta mencuri kode autentikasi dua faktor (2FA), kredensial email dan dompet bitcoin.
Beberapa aplikasi jahat yang tersedia dari Zombinder kemungkinan besar merupakan tanggung jawab pengembang inti ERMAC, DukeEugene. Peneliti juga menemukan beberapa aplikasi disamarkan sebagai aplikasi Instagram yang sah, serta aplikasi lain yang memiliki daftar di Google Play Store.
Lebih lanjut, seperti yang sering terjadi pada kampanye malware, Droppers yang diperoleh dari dark web digunakan oleh pelaku ancaman sehingga aplikasi mereka dapat menghindari deteksi, dalam hal ini Zombinder.
BACA JUGA:
Droppers menginstal apa yang secara fungsional merupakan versi aplikasi yang bersih, tetapi kemudian memberi pengguna pembaruan yang kemudian berisi malware.
Melansir TechRadar, Rabu, 14 Desember, ini adalah sistem pengiriman yang cerdas, terutama dengan aplikasi yang mengaku berasal dari vendor umum tepercaya seperti Meta, karena pengguna lebih cenderung menginstal pembaruan dari pengembang aplikasi yang mereka kenal.
Menurut ThreatFabric, layanan Dropper khusus ini diumumkan pada Maret 2022 dan menjadi populer di kalangan pelaku ancaman.
Serangan terjadi karena Android memiliki sifat terbuka, di mana pengguna dapat menginstal aplikasi yang diperoleh dari repositori selain Google Play Store, dan bahkan dari pengembang aplikasi itu sendiri.