Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android disamarkan sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools’, yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.
Ransomware AstraLocker dimatikan dan melepaskan decryptors
Aplikasi yang meminta pengguna untuk masuk di Facebook
Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal RajĨan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.
Mengirim data ke lusinorms[.]server klub
Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Seperti yang dijelaskan Pradeo dalam laporannya, pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menaikkan bendera merah apa pun. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Gambar baru ini kemudian akan ditampilkan di aplikasi, yang dapat diunduh oleh pengguna atau dikirim ke teman.

Karena banyak aplikasi yang tidak perlu mengharuskan pengguna untuk masuk ke server, dalam banyak kasus Facebook, pengguna menjadi mati rasa terhadap permintaan masuk ini dan lebih sering memasukkan kredensial mereka tanpa kecurigaan.
Tanda-tanda masalah

Sepopuler dan semenyenangkan aplikasi kartunifier ini, orang harus ekstra hati-hati saat menginstal perangkat lunak yang mengharuskan mereka memasukkan informasi sensitif seperti data biometrik (gambar wajah mereka).

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.
Detail aplikasi di Play Store
Detail aplikasi di Play Store

Kami telah mengunjungi halaman pengembang, yang dihosting di Blogspot, untuk membaca kebijakan privasi proyek, dan kami menemukan alamat email yang berbeda di sana, jadi bahkan ada ketidakcocokan.
Klausul keamanan dari kebijakan privasi aplikasi
Klausul keamanan dari kebijakan privasi aplikasi

Akhirnya, kami mencoba mengirim email ke penulis untuk mengomentari tuduhan yang dibuat oleh Pradeo, tetapi salah satu alamatnya bahkan tidak ada.
Alamat email yang tercantum tidak ada
Alamat email yang tercantum tidak ada

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pradeo telah memberi tahu Google tentang sifat aplikasi Alat Foto Kartun Craftsart, dan Bleeping Computer juga telah mengirim pesan ke tim Play Store, jadi Google harus segera menghapusnya.

Namun, mereka yang menginstal aplikasi di perangkat mereka harus segera menghapusnya, mengatur ulang akun Facebook mereka, dan mengaktifkan otentikasi dua faktor untuk perlindungan tambahan.

 

Perangkat Lunak