Bahkan setelah banyak usaha yang dilakukan oleh Google tahun lalu, aplikasi berbahaya selalu berhasil masuk ke toko aplikasi Google.
Peneliti keamanan sekarang telah menemukan bagian baru dari perangkat lunak perusak, yang dijuluki GhostTeam, setidaknya memiliki 56 aplikasi di Google Play Store yang dirancang untuk mencuri kredensial masuk Facebook dan menampilkan iklan pop-up secara agresif kepada pengguna.
Ditemukan secara independen oleh dua perusahaan keamanan maya, Trend Micro dan Avast, aplikasi berbahaya menyamar sebagai berbagai utilitas (seperti senter, pemindai kode QR, dan kompas), peningkatan kinerja (seperti transfer file dan pembersih), hiburan, gaya hidup dan aplikasi pengunduh video.
Seperti kebanyakan aplikasi perangkat lunak perusak, aplikasi Android ini sendiri tidak mengandung kode berbahaya apa pun, itulah sebabnya mereka berhasil berakhir di Google Play Store resmi.
Setelah terinstal, pertama kali mengkonfirmasikan apakah perangkat tersebut bukan emulator atau lingkungan virtual dan kemudian mendownload muatan malware, yang meminta korban untuk menyetujui izin administrator perangkat untuk mendapatkan ketekunan pada perangkat.
“Aplikasi pengunduh mengumpulkan informasi tentang perangkat, seperti ID perangkat, lokasi, bahasa dan parameter tampilan” kata Avast. “Lokasi perangkat diperoleh dari alamat IP yang digunakan saat menghubungi layanan online yang menawarkan informasi geolokasi untuk IP.”
Bagaimana Android Malware Mencuri Password Account Facebook Anda
Begitu pengguna membuka aplikasi Facebook mereka, malware tersebut segera meminta mereka untuk memverifikasi ulang akun mereka dengan masuk ke Facebook. Alih-alih memanfaatkan kerentanan sistem atau aplikasi apa pun, perangkat lunak perusak menggunakan skema phishing klasik untuk menyelesaikan pekerjaannya.
Aplikasi palsu ini hanya meluncurkan komponen WebView dengan halaman login mirip Facebook dan meminta pengguna untuk log-in. Rupanya, kode WebView mencuri username dan password Facebook korban dan mengirimkannya ke server yang dikendalikan hacker jarak jauh.
“Ini kemungkinan besar karena pengembang menggunakan browser web tertanam (WebView, WebChromeClient) di aplikasi mereka, alih-alih membuka laman web di browser,” kata Avast.
Akun Facebook yang dicuri juga dapat mengekspos “banyak informasi finansial dan identitas pribadi lainnya,” yang kemudian dapat dijual di pasar bawah tanah.
Perusahaan keamanan percaya bahwa GhostTeam telah dikembangkan dan diunggah ke Play Store oleh pengembang Vietnam karena penggunaan bahasa Vietnam yang cukup banyak dalam kode tersebut.
Menurut para periset, sebagian besar pengguna yang terkena dampak malware GhostTeam dilaporkan berada di India, Indonesia, Brazil, Vietnam, dan Filipina.
Selain mencuri akun Facebook, malware GhostTeam juga menampilkan iklan pop up secara agresif dengan selalu menjaga agar perangkat yang terinfeksi terjaga dengan menampilkan iklan yang tidak diinginkan di latar belakang.
Semua aplikasi sejak itu telah dihapus oleh Google dari Play Store setelah para periset melaporkannya ke perusahaan. Namun, pengguna yang telah memasang satu aplikasi semacam itu di perangkat mereka harus memastikan mereka mengaktifkan Google Play Protect.
Fitur Play Protect menggunakan machine learning dan analisis penggunaan aplikasi untuk menghapus (uninstall) aplikasi jahat dari pengguna smartphone Android dalam upaya mencegah bahaya lebih lanjut.
Meskipun aplikasi berbahaya yang mengambang di toko aplikasi resmi adalah masalah yang tidak pernah berakhir, cara terbaik untuk melindungi diri sendiri selalu waspada saat mendownload aplikasi, dan selalu memverifikasi izin dan ulasan aplikasi sebelum mendownloadnya.
Selain itu, Anda sangat disarankan untuk menyimpan aplikasi antivirus yang bagus di perangkat seluler Anda yang dapat mendeteksi dan memblokir ancaman tersebut sebelum menginfeksi perangkat Anda, dan yang terpenting, selalu perbaiki perangkat dan aplikasi Anda agar tetap mutakhir.