Malware Perbankan Android Gigabud RAT Menargetkan Institusi di Seluruh Negara
Pemegang rekening di berbagai lembaga keuangan di Thailand, Indonesia, Vietnam, Filipina, dan Peru menjadi sasaran malware perbankan Android yang disebut TIKUS Gigabud.
“Salah satu fitur unik Gigabud RAT adalah ia tidak melakukan tindakan jahat apa pun sampai pengguna diizinkan masuk ke dalam aplikasi jahat tersebut oleh penipu, […] yang membuatnya lebih sulit untuk dideteksi,” kata peneliti Group-IB Pavel Naumov dan Artem Grischenko.
“Daripada menggunakan serangan overlay HTML, Gigabud RAT mengumpulkan informasi sensitif terutama melalui perekaman layar.”
Gigabud RAT pertama kali didokumentasikan oleh Cyble pada Januari 2023 setelah terlihat meniru aplikasi bank dan pemerintah untuk menyedot data sensitif. Ia diketahui aktif di alam liar setidaknya sejak Juli 2022.
Perusahaan yang berbasis di Singapura mengatakan pihaknya juga mengidentifikasi varian kedua dari malware tersebut tanpa kemampuan RAT. Dijuluki Gigabud.Loan, aplikasi ini berkedok aplikasi pinjaman yang mampu menyaring data masukan pengguna.
“Sasarannya adalah individu yang dibujuk untuk mengisi formulir permohonan kartu bank untuk mendapatkan pinjaman berbunga rendah,” kata para peneliti. “Para korban diyakinkan untuk memberikan informasi pribadi selama proses pengajuan.”
Kedua versi malware tersebut disebarkan melalui situs web phishing, yang tautannya dikirimkan ke korban melalui SMS atau pesan instan di jaringan media sosial. Gigabud.Loan juga didistribusikan langsung dalam bentuk file APK yang dikirim melalui pesan di WhatsApp.
Target yang didekati melalui media sosial sering kali dipaksa mengunjungi situs tersebut dengan dalih menyelesaikan pemeriksaan pajak dan meminta pengembalian dana.
Meskipun perangkat Android menonaktifkan pengaturan “Instal dari Sumber Tidak Dikenal” sebagai tindakan keamanan untuk mencegah instalasi aplikasi dari sumber yang tidak tepercaya, sistem operasi mengizinkan aplikasi lain diinstal pada perangkat, seperti browser web, klien email, file pengelola, dan aplikasi perpesanan, untuk meminta izin “REQUEST_INSTALL_PACKAGES”.
Jika pengguna memberikan izin ke aplikasi tersebut, hal ini memungkinkan pelaku ancaman untuk menginstal file APK jahat sambil melewati opsi “Instal dari Sumber Tidak Dikenal”.
Gigabud berfungsi sangat mirip dengan trojan perbankan Android lainnya dengan meminta izin layanan aksesibilitas untuk melakukan tangkapan layar dan mencatat penekanan tombol. Ini juga dilengkapi untuk mengganti nomor kartu bank di clipboard dan melakukan transfer dana otomatis melalui akses jarak jauh.
Di sisi lain, Gigabud.Pinjaman berfungsi sebagai alat untuk mengumpulkan informasi pribadi seperti nama lengkap, nomor identitas, foto dokumen identitas nasional, tanda tangan digital, pendidikan, info pendapatan, informasi kartu bank, dan nomor telepon dengan berkedok mengirimkan a permintaan pinjaman ke bank.
Temuan ini menyusul ditemukannya 43 aplikasi jahat di Google Play Store yang memuat iklan saat layar perangkat dimatikan. Aplikasi tersebut, dengan unduhan kumulatif sebesar 2,5 juta, telah dihapus atau diperbarui oleh pengembang untuk menghapus komponen penipuan iklan.
McAfee mengatakan adware, setelah diinstal, meminta izin pengguna untuk mengecualikan aplikasi saat menghemat baterai dan memungkinkannya memanfaatkan aplikasi lain, sehingga secara efektif membuka pintu bagi serangan jahat lebih lanjut, seperti memuat iklan di latar belakang dan menampilkan halaman phishing.
Pustaka penipuan iklan yang digunakan oleh aplikasi juga menggunakan taktik penundaan untuk menghindari deteksi dan dapat dimodifikasi dari jarak jauh oleh operator menggunakan layanan pesan Firebase, sehingga menambah kerumitannya.
Pengungkapan ini terjadi ketika Biro Investigasi Federal AS (FBI) memperingatkan peningkatan penipu yang berpura-pura menjadi perusahaan pemulihan dan pelacakan yang dapat membantu korban penipuan investasi mata uang kripto untuk mendapatkan kembali aset yang hilang.
“Penipu skema pemulihan mengenakan biaya di muka dan menghentikan komunikasi dengan korban setelah menerima setoran awal atau membuat laporan penelusuran yang tidak lengkap atau tidak akurat dan meminta biaya tambahan untuk memulihkan dana,” kata FBI.
Selain itu, lembaga tersebut telah memperingatkan bahwa penjahat dunia maya menyematkan kode jahat dalam aplikasi pengujian beta seluler yang menyamar sebagai aplikasi investasi mata uang kripto yang sah untuk menipu calon korban dengan memfasilitasi pencurian informasi identitas pribadi (PII) dan data akun keuangan.
“Aplikasi tersebut mungkin tampak sah dengan menggunakan nama, gambar, atau deskripsi yang mirip dengan aplikasi populer,” jelas agensi tersebut. “Penjahat dunia maya sering menggunakan phishing atau penipuan percintaan untuk menjalin komunikasi dengan korban, kemudian mengarahkan korban untuk mengunduh aplikasi pengujian beta seluler yang ditempatkan dalam lingkungan aplikasi pengujian beta seluler, yang menjanjikan insentif seperti pembayaran finansial yang besar.”
Dalam skema ini, pelaku ancaman menghubungi calon korban melalui aplikasi kencan dan jejaring sosial dan membangun kepercayaan dengan tujuan akhir untuk membujuk mereka agar mengunduh aplikasi versi pra-rilis.
“Para korban memasukkan rincian akun yang sah ke dalam aplikasi, mengirimkan uang yang mereka yakini akan diinvestasikan dalam mata uang kripto, namun dana korban malah dikirim ke penjahat dunia maya,” kata FBI.
Perlu dicatat bahwa penyalahgunaan kerangka pengujian beta TestFlight Apple untuk melakukan penipuan pemotongan babi disorot oleh perusahaan keamanan siber Sophos tahun lalu.
Gelombang kampanye baru-baru ini, yang juga disebut CryptoRom, telah mempersenjatai skema distribusi aplikasi ad-hoc perusahaan dan pengembang Apple untuk menghadirkan aplikasi kripto palsu dalam upaya untuk melewati batasan yang mencegah pengguna mengunduh aplikasi iOS di luar App Store.
Dalam kasus lain, aplikasi yang tampaknya tidak berbahaya di-trojanisasi setelah disetujui dan dipublikasikan ke etalase aplikasi Apple dan Google dengan mengubah kode jarak jauh agar mengarah ke server yang dikendalikan penyerang untuk menimbulkan perilaku berbahaya.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
