Peneliti keamanan telah menemukan sebuah malware yang akan terus menyebar dan telah menginfeksi lebih dari 5 juta perangkat handphone seluruh dunia.
Dijuluki RottenSys, malware yang menyamar sebagai aplikasi “System Wi-Fi service” yang diinstall secara default oleh jutaan merek smartphone baru yang dibuat oleh Honor, Huawei, Xiaomi, Oppo, Vivo, Samsung, dan GIONEE.
Semua perangkat yang terinfeksi dikirim melalui Tian Pai, sebuah distributor ponsel berbasis Hangzhou, namun para periset tidak yakin apakah perusahaan tersebut memiliki keterlibatan langsung dalam malware ini.
Menurut Tim Keamanan Check Point Mobile -yang menemukan kampanye ini- RottenSys adalah perangkat lunak berbahaya yang tidak menyediakan layanan terkait Wi-Fi aman namun memerlukan hampir semua izin Android yang sensitif untuk mengaktifkan aktivitas jahatnya.
“Menurut temuan kami, malware RottenSys mulai menyebar pada bulan September 2016. Pada 12 Maret 2018, 4.964.460 perangkat terinfeksi oleh RottenSys,” kata periset.
Untuk menghindari deteksi, aplikasi System Wi-Fi service awalnya tidak mengandung komponen berbahaya dan tidak segera memulai aktivitas berbahaya apa pun.
Sebagai gantinya, RottenSys telah dirancang untuk berkomunikasi dengan server komando dan kontrolnya untuk mendapatkan daftar komponen yang dibutuhkan, yang berisi kode berbahaya yang sebenarnya.
RottenSys kemudian mendownload dan menginstal masing-masing sesuai dengan itu, dengan menggunakan izin “DOWNLOAD_WITHOUT_NOTIFICATION” yang tidak memerlukan interaksi pengguna.
Hacker memperoleh $ 115.000 dalam Hanya 10 Hari Terakhir
Pada saat ini, malware secara masif mengirimkan komponen adware ke semua perangkat yang terinfeksi yang secara agresif menampilkan iklan di layar awal perangkat, seperti jendela pop-up atau iklan layar penuh untuk menghasilkan pendapatan iklan yang tidak benar.
“RottenSys adalah jaringan iklan yang sangat agresif. Dalam 10 hari terakhir saja, ini menghasilkan iklan agresif 13.250.756 kali (disebut tayangan di industri iklan), dan 548.822 di antaranya diterjemahkan ke dalam klik iklan,” kata periset.
Menurut periset Checkpoint, malware tersebut telah membuat pengarangnya lebih dari $ 115.000 dalam 10 hari terakhir saja, namun penyerangnya sampai pada “sesuatu yang jauh lebih merusak daripada sekadar menampilkan iklan tak diundang”.
Sejak RottenSys telah dirancang untuk mendownload dan menginstal komponen baru dari server C&C, penyerang dapat dengan mudah membuat persenjataan atau mengendalikan penuh jutaan perangkat yang terinfeksi.
Investigasi tersebut juga mengungkapkan beberapa bukti bahwa penyerang RottenSys telah mulai mengubah jutaan perangkat yang terinfeksi tersebut menjadi jaringan botnet raksasa.
Beberapa perangkat yang terinfeksi telah ditemukan memasang komponen RottenSys baru yang memberi kemampuan penyerang lebih luas, termasuk diam-diam memasang aplikasi tambahan dan otomatisasi UI.
“Menariknya, bagian dari mekanisme pengendalian botnet diimplementasikan dalam skrip Lua. Tanpa intervensi, penyerang dapat menggunakan kembali saluran distribusi malware mereka yang ada dan segera menguasai lebih dari jutaan perangkat,” menurut para peneliti.
Ini bukan pertama kalinya para peneliti Checkpoint menemukan merek top-notch yang terpengaruh dengan serangan rantai pasokan.
Tahun lalu, perusahaan tersebut menemukan smartphone milik Samsung, LG, Xiaomi, Asus, Nexus, Oppo, dan Lenovo, menginfeksi dua malware pra-instal (Loki Trojan dan rackware bergerak SLocker) yang dirancang untuk memata-matai pengguna.
Cara Mendeteksi dan Menghapus Malware Android?
Untuk memeriksa apakah perangkat Anda terinfeksi malware ini, masuk ke pengaturan sistem Android → App Manager, lalu cari beberapa jenis paket malware yang mungkin terjadi:
com.android.yellowcalendarz (每日 黄 历)
com.changmi.launcher (畅 米 桌面)
com.android.services.securewifi (系统 WIFI 服务)
com.system.service.zdsgt
Jika salah satu di atas ada dalam daftar aplikasi terinstal Anda, cukup hapus aplikasinya.