Jakarta, CNBC Indonesia – Ada malware bandel yang walaupun aplikasi terjangkit sudah dihapus, ia masih bersarang di HP korbannya. Malware penguras rekening yang dimaksud adalah PixPirate.
PixPirate merupakan jenis malware Android baru yang pertama kali didokumentasikan oleh tim Cleafy TIR dan menargetkan bank-bank Amerika Latin.
Meskipun Cleafy mencatat bahwa aplikasi pengunduh terpisah meluncurkan malware, laporan tidak menyelidiki mekanisme persembunyian atau persistensi inovatifnya, atau mekanisme yang digunakan baru diperkenalkan baru-baru ini.
Laporan dari IBM menjelaskan, yang dikutip dari BleepingComputer, taktik yang digunakan malware tersebut bertentangan dengan standar yang biasa digunakan malware.
Biasanya mereka mencoba menyembunyikan ikonnya, yang mungkin dilakukan pada versi Android hingga 9, namun PixPirate tidak menggunakan ikon peluncur atau launcher.
Hal ini yang memungkinkan malware tetap tersembunyi di semua rilis Android terbaru hingga versi 14.
Tim peneliti IBM Trusteer memaparkan versi malware Android PixPirate baru menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.
Aplikasi pertama dikenal sebagai ‘pengunduh’ dan didistribusikan melalui APK (Android Package Files) yang disebar melalui pesan phishing, dikirim via WhatsApp atau SMS.
Aplikasi pengunduh ini meminta akses ke izin berisiko pada saat instalasi, termasuk Layanan Aksesibilitas, dan kemudian melanjutkan untuk mengunduh dan menginstal aplikasi kedua bernama ‘droppee’, yang merupakan malware perbankan PixPirate terenkripsi.
Aplikasi ‘droppee’ tidak mendeklarasikan aktivitas utama dengan “android.intent.action.MAIN” dan “android.intent.category.LAUNCHER” dalam manifesnya, sehingga tidak ada ikon yang muncul di layar beranda, sehingga sama sekali tidak terlihat.
Sebaliknya, aplikasi droppee mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, yang dihubungkan oleh pengunduh ketika ingin memicu peluncuran malware PixPirate.
Selain aplikasi dropper yang dapat meluncurkan dan mengontrol malware, pemicu ini dapat berupa booting perangkat, perubahan konektivitas, atau peristiwa sistem lainnya yang didengarkan oleh PixPirate, sehingga memungkinkannya dijalankan di background.
“Droppee memiliki layanan bernama com.companian.date.sepherd yang diekspor dan memiliki filter maksud dengan tindakan kustom ‘com.ticket.stage.Service.’,” jelas analis IBM.
Dan, ketika pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee ini menggunakan API BindService dengan flag “BIND_AUTO_CREATE” yang membuat dan menjalankan layanan droppee.
…
Berdasarkan deteksi kami saat ini, tidak ada aplikasi yang mengandung malware ini ditemukan di Google Play,” kata juru bicara Google.
Menurut juru bicara tersebut, pengguna Android secara otomatis terlindungi dari versi malware ini yang diketahui melalui Google Play Protect, yang diaktifkan secara default di perangkat Android dengan Layanan Google Play.
“Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, meskipun aplikasi tersebut berasal dari sumber di luar Play.” jelasnya.
Saksikan video di bawah ini: Video: Operator Internet Sebar Malware ke Pelanggan
Artikel ini dipublikasikan di CNBC Indonesia dengan judul “Awas Malware Penguras Rekening Ini Sembunyi di HP Android”.
