Sebanyak 2 juta pengguna Android mungkin telah mendownload aplikasi yang terinfeksi malware FalseGuide, firma riset keamanan Check Point memperingatkan pada hari Senin.
Jutaan Mungkin Telah Memilih Perangkat Lunak FalseGuide di Google Play Store
Aplikasi tertua yang terinfeksi bisa diunggah ke Google Play sejak lama November lalu, setelah berhasil disembunyikan selama lima bulan, sementara yang terbaru mungkin telah diupload baru-baru ini mulai awal bulan ini.
Malware telah menginfeksi hampir 50 aplikasi panduan untuk game populer, periset Check Point Oren Koriat, Andrey Polkovnichenko & Bogdan Melnykov mencatat dalam sebuah posting online.
Check Point memperingatkan Google tentang adanya malware tersebut, dan Google dengan cepat menanggapi dengan menghapus aplikasi yang terinfeksi dari toko aplikasi online-nya, kata mereka.
Aplikasi tersebut diajukan oleh dua personel pengembang palsu: “Sergei Vernik” dan “Nikolai Zalupkin.”
Nama tersebut mungkin menyarankan koneksi Rusia ke malware, Koriat, Polkovnichenko & Melnykov mengakui, namun mereka juga mencatat bahwa “Zalupkin” akan terdengar dibuat dari seorang pembicara asli bahasa Rusia.
Aplikasi yang terinfeksi berpotensi menjadi sangat berbahaya, kata mereka, karena FalseGuide dapat menggunakan botnet untuk tujuan jahat – mulai dari pengiriman adware hingga melakukan serangan DDoS, atau bahkan sebagai cara untuk menembus jaringan pribadi.
Tingkat tinggi ini dimungkinkan karena aplikasi meminta izin admin perangkat saat mendownload. Itu adalah permintaan yang tidak biasa, dan ini menunjukkan niat jahat, karena ini mencegah pengguna menghapus aplikasi. FalseGuide mendaftarkan dirinya ke topik Firebase Cloud Messaging dengan nama yang sama dengan aplikasi, yang memungkinkannya menerima modul tambahan yang kemudian membuat botnet diam.
Game On
Pembuat malware FalseGuide sepertinya ingin menyamar sebagai panduan permainan, yang populer dan benar-benar membangun kesuksesan moneter aplikasinya. Mereka memerlukan sedikit waktu pengembangan dan terbatas dalam implementasi fitur.
“Malware FalseGuide ini melakukan pekerjaan penggelaran yang hebat melalui beberapa aplikasi yang diinginkan pengguna, dan ketika orang memberikannya hak istimewa administratif selama instalasi, malware tersebut ditanam dengan sangat dalam,” kata Jim Purtilo, associate professor ilmu komputer di University of Maryland .
Salah satu alasan aplikasi yang terinfeksi bisa menipu pengguna adalah bahwa di platform Android, “model keamanannya hampir semuanya ada atau tidak pada izin,” katanya.
“Saat Anda memasang aplikasi, Anda akan meminta akses ke jaringan, atau kontak Anda, atau beberapa jenis sumber daya lainnya – dan biasanya, Anda tidak dapat menginstal aplikasi tanpa menyetujui,” kata Purtilo.
“Kadang-kadang apa yang dimintanya dapat menaikkan bendera merah Mengapa aplikasi senter membutuhkan daftar kontak Anda Tapi sayangnya, alasan untuk sebuah aplikasi yang memerlukan beberapa layanan mungkin tidak jelas, sehingga pengguna berpengalaman pun terbuai untuk menyetujui tanpa berpikir,” dia menambahkan. “Mereka hanya mempercayai sumbernya – Google Play, dalam kasus ini.”
Salah Positif
Google sejauh ini telah merespons satu-satunya cara – dengan menghapus aplikasi yang terinfeksi dari Google Play. Namun, mengingat beberapa panduan ini dimulai pada awal November, nampaknya perusahaan tersebut dengan jelas gagal melindungi pelanggannya.
“Ini buruk, dan mungkin hal terbaik yang pernah terjadi untuk BlackBerry dalam memori baru-baru ini,” kata Rob Enderle, analis utama di Enderle Group .
“Alasannya adalah FalseGuide dirancang untuk memberikan hak akses yang lebih tinggi bagi penyerang eksternal, dan secara otomatis menginstal modul malware tambahan termasuk rootkit,” katanya.
“Saat ini, hanya ponsel Android Blackberry yang dirancang untuk secara agresif mencegah serangan semacam ini,” kata Enderle.
Malware ini “memang merupakan ancaman yang signifikan,” tambahnya, “karena telepon kemudian dapat digunakan untuk menyampaikan informasi identitas pengguna dan melakukan serangan DDoS – dan bahkan dapat digunakan untuk memata-matai aktivitas pengguna menggunakan kamera dan mikrofon telepon. . ”
Rootkit Masalah
Pada titik ini mungkin hanya ada sedikit pengguna yang dapat melakukannya kecuali menyetel ulang perangkat mereka dan lebih berhati-hati terhadap apa yang mereka unduh. Namun, langkah tersebut mungkin tidak cukup untuk membersihkan malware.
“Karena hal ini bisa menerapkan rootkit ke ponsel Anda, bahkan kembali ke setting semula dengan melakukan penghapusan telepon penuh mungkin tidak menghilangkan malware, jadi ini bisa dikenakan biaya telepon,” peringatan Enderle.
“Pengguna ini cukup baik dikompromikan sekarang,” kata Purtilo.
“Ini sedikit canggung sehingga tidak terdeteksi begitu lama di Google Play,” catatnya, “dan dalam permainan kucing-dan-tikus yang sedang berlangsung antara pembuatan dan deteksi hama digital, pencipta malware masih memegang keunggulan kuat. Berubah sampai kami menemukan cara yang lebih efektif untuk membantu konsumen membuat pilihan rasional tentang apa yang kami sepakati untuk dijalankan di perangkat kami. ”
Masalahnya adalah hilangnya kepercayaan – terutama karena orang mengharapkan Google Play untuk diperiksa dan aman, sehingga penjaga mereka akan turun. Inilah sebabnya mengapa beberapa mungkin tidak menangkap bahwa panduan seharusnya tidak memerlukan hak administrator.
“Ini berfungsi sebagai pengingat untuk membaca hak yang diminta setiap aplikasi,” kata Enderle.
“Jika hak tersebut tidak sesuai dengan aplikasinya – misalnya, mengapa panduan memerlukan daftar kontak Anda – atau jika apl meminta hak admin tidak memasangnya,” sarannya.
“Mengingat ini adalah melalui pemeriksaan Google, dan Apple tidak membicarakan hal-hal seperti ini,” kata Enderle, “ini membuat Anda bertanya-tanya apakah ada yang serupa dengan ponsel Apple yang belum pernah kami temukan sebelumnya atau yang belum. Diluncurkan, menunjukkan bahwa bahkan pemilik Apple pun harus terus membuka mata terhadap serangan semacam ini. “