Trojan TrickMo Android Gunakan Aksesibilitas untuk Penipuan Bank

Para peneliti keamanan siber telah mengidentifikasi varian baru dari trojan perbankan Android yang dikenal sebagai TrickMo, yang dilengkapi dengan kemampuan baru untuk menghindari analisis serta menampilkan layar login palsu guna menangkap kredensial perbankan dari korban.

“Mekanisme ini meliputi penggunaan file ZIP yang mengalami kerusakan, yang dipadukan dengan JSONPacker,” ungkap Michele Roviello dan Alessandro Strino, peneliti keamanan dari Cleafy. Lebih lanjut, aplikasi ini diinstal melalui aplikasi pipet yang memiliki mekanisme anti-analisis yang serupa.

"Fitur-fitur ini dirancang untuk menghindari deteksi dan menghalangi upaya para profesional keamanan siber dalam menganalisis serta mengurangi dampak dari malware."

TrickMo, yang pertama kali terdeteksi oleh CERT-Bund pada September 2019, diketahui menargetkan perangkat Android, secara khusus menargetkan pengguna di Jerman, untuk mengumpulkan One-Time Password (OTP) dan autentikasi dua faktor (2FA) lainnya guna membantu memfasilitasi penipuan finansial.

Malware yang fokus pada ponsel ini diperkirakan merupakan hasil karya kelompok kejahatan siber TrickBot, yang terus memperbarui fitur penyamaran dan anti-analisis guna menghindari deteksi.

Di antara fitur yang dimiliki oleh TrickMo adalah kemampuan untuk merekam aktivitas layar, merekam penekanan tombol, mengambil gambar dan pesan SMS, serta mengendalikan perangkat yang terinfeksi dari jarak jauh untuk melakukan tindakan penipuan di perangkat. Malware ini juga memanfaatkan API layanan aksesibilitas Android untuk melakukan serangan overlay HTML serta melakukan klik dan gerakan pada perangkat.

Aplikasi dropper berbahaya yang diidentifikasi oleh perusahaan keamanan siber asal Italia ini menyamar sebagai browser web Google Chrome. Setelah diluncurkan, aplikasi ini meminta korban untuk memperbarui Layanan Google Play dengan mengklik tombol konfirmasi. Jika pengguna melanjutkan pembaruan, file APK yang berisi muatan TrickMo akan di unduh ke perangkat dengan menyamar sebagai "Layanan Google," dimana pengguna kemudian diminta untuk mengaktifkan layanan aksesibilitas untuk aplikasi baru tersebut.

“Layanan aksesibilitas dirancang untuk membantu pengguna penyandang disabilitas dengan menyediakan interaksi alternatif dengan perangkat,” kata para peneliti. "Namun, ketika dieksploitasi oleh aplikasi berbahaya seperti TrickMo, layanan ini dapat memberikan kontrol yang luas atas perangkat."

Pemberian izin yang lebih besar ini memungkinkan TrickMo melakukan berbagai tindakan berbahaya, termasuk mencegat SMS, memanipulasi pemberitahuan untuk menyembunyikan kode otentikasi, serta melakukan serangan overlay HTML guna mencuri kredensial pengguna. Selain itu, malware ini dapat mengabaikan pengunci layar dan izin penerimaan otomatis, sehingga dapat berinteraksi secara mulus dalam operasi perangkat.

Lebih lanjut, enkripsi layanan aksesibilitas memungkinkan malware ini untuk menonaktifkan fitur keamanan penting dan pembaruan sistem, memberikan izin secara otomatis sesuai keinginan, dan mencegah pemasangan aplikasi tertentu.

Analisis Cleafy juga menemukan kesalahan konfigurasi pada server command and control (C2), yang memungkinkan akses ke data sensitif sebanyak 12 GB yang disusupkan dari perangkat, termasuk kredensial dan gambar, tanpa memerlukan izin.

Server C2 juga menyimpan file HTML yang digunakan dalam serangan overlay. File-file ini berisi halaman login palsu untuk berbagai layanan, termasuk bank seperti ATB Mobile dan Alpha Bank, serta platform cryptocurrency seperti Binance.

Kelalaian dalam keamanan ini tidak hanya mencerminkan kekurangan dalam Operational Security (OPSEC) dari ancaman pelaku, tetapi juga membahayakan data korban terhadap eksploitasi oleh ancaman lain.

informasi kekayaan yang terekspos dari infrastruktur C2 TrickMo dapat digunakan untuk pencurian identitas, penyusupan akun online, transfer dana yang ilegal, bahkan pembelian yang tidak sah. Lebih parah lagi, penyerang dapat membajak akun dan mengunci korban dengan mereset kata sandi mereka.

“Dengan menggunakan informasi dan gambar pribadi, penyerang dapat menyusun pesan yang meyakinkan, sehingga korban dapat terpedaya untuk membocorkan lebih banyak informasi atau melakukan tindakan yang merugikan,” kata para peneliti.

“Penyalahgunaan data pribadi yang sangat komprehensif dapat mengakibatkan kerugian finansial dan reputasi, serta konsekuensi jangka panjang bagi para korban, sehingga proses pemulihan menjadi kompleks dan memakan waktu.”

Pengungkapan ini terjadi setelah tindakan Google yang menutup celah keamanan seputar sideload, dengan tujuan memungkinkan pengembang pihak ketiga untuk menentukan apakah aplikasi mereka dimuat menggunakan Play Integrity API dan, jika demikian, mengharuskan pengguna untuk mengunduh aplikasi dari Google Play agar dapat melanjutkan penggunaan.