Liputan6.com, Jakarta - Baru-baru ini, pelaku kejahatan siber menyebarkan sebuah malware Android yang disamarkan sebagai SDK (software developmen kit) iklan telah menginfeksi sejumlah aplikasi di Google Play Store.
Sebelum diberantas oleh Google, secara kolektif aplikasi Android yang terinfeksi telah diunduh sebanyak 421 juta kali.
Baca Juga
Adapun temuan ini terungkap lewat laporan peneliti keamanan di Dr. Web, di mana mereka mendapati module spyware dan melacaknya sebagai 'SpinOk'.
Advertisement
Peneliti mengatakan, spyware tersebut memiliki kemampuan untuk mencuri data pribadi yang tersimpan di perangkat mengguna dan mengirimkan informasi ke server jarak jauh.
"Jika dilihat sepintas, modul SpinOk dirancang agar pengguna tetap membuka aplikasi dengan bermain mini game, tugas harian, dan hadiah," sebagaimana mengutip laporan Dr. Web via Bleeping Computer, Jumat (2/6/2023).
Namun pada kenyataannya, trojan SDK memeriksa data sensor perangkat Android (giroskop, magnetometer) untuk memastikan perangkat tidak beroperasi di lingkungan sandbox--biasa dipakai peneliti saat menganalisa Aplikasi berpotensi bahaya.
Kemudian, aplikasi terhubung ke server jarak jauh uuntuuk men-download daftar URL yang digunakan untuk menampilkan minigame.
Walau minigame yang ditampilkan sesuai harapan pengguna, Dr. Web mengatakan, di latar belakang, spyware berkedok SDK mampu melakukan fungsi berbahaya.
"SDK itu dapat membuat daftar file dalam direktori, mencari file tertentu, mengunggah file dari perangkat, atau menyalin dan mengganti konten clipboard," jelas tim peneliti.
Diketahui, kode fungsionalitas modifikasi clipboard memungkinkan operator SDK mencuri kata sandi akun dan data kartu kredit, atau membajak pembayaran mata uang kripto ke alamat dompet kripto mereka sendiri.
101 Aplikasi dengan Total Unduhan 421 Juta Terinfeksi Spyware
Dr. Web mengklaim SDK ini ditemukan di 101 aplikasi dengan total kumulatif 421.290.300 kali unduhan dari Google Play, dengan yang paling banyak diunduh tercantum di bawah ini:
- Noizz: video editor with music (100,000,000 unduhan)
- Zapya – File Transfer, Share (100,000,000 unduhan)
- VFly: video editor&video maker (50,000,000 unduhan)
- MVBit – MV video status maker (50,000,000 unduhan)
- Biugo – video maker&video editor (50,000,000 unduhan)
- Crazy Drop (10,000,000 unduhan)
- Cashzine – Earn money reward (10,000,000 unduhan)
- Fizzo Novel – Reading Offline (10,000,000 unduhan)
- CashEM: Get Rewards (5,000,000 unduhan)
- Tick: watch to earn (5,000,000 unduhan)
Anda dapat menemukan daftar lengkapnya dengan menggunjungi situs Dr. Web.
Tidak jelas apakah penerbit aplikasi ditipu oleh distributor SDK, atau dengan sengaja memasukkannya ke dalam kode mereka. Besar kemungkin infeksi ini diakibatkan oleh serangan rantai pasokan dari pihak ketiga.
Advertisement
Aplikasi Android Ini Diam-Diam Rekam Suara di Sekitar Perangkat Pengguna
Sebuah aplikasi perekam layar di Android diketahui telah melakukan kegiatan yang membahayakan keamanan penggunanya. Aplikasi yang bernama IRecorder: Screen Recorder ini merekam audio aktivitas pengguna melalui akses mikrofon.
Menurut laporan Ars Technica, aplikasi tersebut sudah menjalankan kegiatan jahat ini sejak satu tahun setelah perilisannya di Google Play Store pada 2021.
Tepatnya setelah pembaruan aplikasi di Agustus 2022, IRecorder mulai diam-diam merekam satu menit audio setiap 15 menit, lalu mengirimkannya ke pihak pengembang aplikasi melalui tautan terenkripsi.
Tindakan berbahaya ini ditemukan oleh Peneliti Essential Security Against Evolving (ESET), Lukas Stefanco, dan didokumentasikan dalam postingan blog-nya.
Stefanco menjelaskan, fungsi spionase rahasia dilakukan menggunakan kode dari Ahmyth, sebuah RAT atau Remote Access Trojan yang telah disusupi ke dalam beberapa aplikasi Android.
Aplikasi Android IRecorder Diunduh 50 Ribu Kali
Setelah RAT ditambahkan, pengguna aplikasi tersebut akan menerima pembaruan yang memungkinkan ponsel mereka merekam audio terdekat dan meneruskan rekaman ke server yang ditunjuk pengembang. ESET menamai RAT yang telah dimodifikasi oleh aplikasi IRecorder ini sebagai AhRat.
“Selama analisis saya, AhRat secara aktif mampu mengeluarkan data dan merekam mikrofon, beberapa kali saya menghapus aplikasi dan menginstal ulang, dan aplikasi selalu berperilaku sama,” tulis Stefanco dalam sebuah email yang diterima Ars Technica, dikutip Sabtu (27/5/2023).
Sebagai informasi, aplikasi Android IRecorder telah diunduh sebanyak 50.000 kali ketika dilaporkan. Namun, kini aplikasi tersebut sudah dihapus dari Play Store.
Stefanco menambahkan, aplikasi yang memiliki Ahmyth tersebut sebelumnya telah berhasil melewati filter Google, sehingga kewaspadaan harus semakin ditingkatkan.
Advertisement