Kaspersky telah menemukan skema baru penyebaran Trojan bankir Mamont (bahasa Rusia untuk raksasa). Penipu menjanjikan untuk mengirimkan produk tertentu dengan harga grosir yang mungkin dianggap menarik bagi pemilik usaha kecil maupun pembeli perorangan, dan menawarkan untuk memasang aplikasi Android guna melacak paket tersebut. Namun, alih-alih utilitas pelacakan, korban memasang Trojan yang dapat mencuri kredensial perbankan, pemberitahuan push (push notification), dan informasi keuangan lainnya.
Detail skema
Para penyerang mengklaim menjual berbagai produk dengan harga yang cukup menarik melalui sejumlah situs web. Untuk melakukan pembelian, korban diminta untuk bergabung dengan obrolan Telegram pribadi, yang berisi petunjuk untuk melakukan pemesanan. Intinya, petunjuk ini bermuara pada fakta bahwa korban perlu menulis pesan pribadi kepada manajer. Saluran itu sendiri ada untuk membuat skema tersebut tampak lebih meyakinkan: peserta obrolan ini mengajukan pertanyaan klarifikasi, menerima jawaban, dan mengomentari berbagai hal. Mungkin, ada korban lain dari skema yang sama dan bot yang menciptakan kesan perdagangan aktif dalam obrolan ini.
Skema ini menjadi lebih kredibel karena para penipu tidak meminta pembayaran di muka — korban mendapat kesan bahwa mereka tidak mempertaruhkan apa pun jika melakukan pemesanan. Namun beberapa saat setelah berbicara dengan manajer dan melakukan pemesanan, korban menerima pesan bahwa pesanan telah dikirim, dan pengirimannya dapat dilacak menggunakan aplikasi khusus. Tautan ke file .apk dan nomor pelacakan pengiriman disertakan. Pesan tersebut juga menekankan bahwa untuk membayar pesanan setelah menerimanya, Anda harus memasukkan nomor pelacakan dan menunggu sementara pesanan dimuat (yang dapat memakan waktu lebih dari 30 menit).
Tautan tersebut mengarah ke situs berbahaya yang menawarkan untuk mengunduh pelacak untuk paket yang dikirim. Sebenarnya, itu bukan pelacak, tetapi malware perbankan Mamont untuk Android. Saat dipasang, “pelacak” meminta izin untuk beroperasi di latar belakang, serta bekerja dengan pemberitahuan push, SMS, dan panggilan. Korban diharuskan memasukkan kode, yang seharusnya untuk melacak paket, dan menunggu.
Apakah malware ini dan mengapa berbahaya?
Faktanya, setelah korban memasukkan “track code” yang diterima, yang tampaknya digunakan sebagai pengenal korban, Trojan mulai mencegat semua pemberitahuan push yang diterima oleh perangkat (misalnya, kode konfirmasi untuk transaksi perbankan) dan meneruskannya ke server penyerang. Pada saat yang sama, Mamont membuat koneksi dengan server penyerang dan menunggu perintah tambahan. Atas perintah tersebut, ia dapat:
- Mengubah ikon aplikasi menjadi transparan untuk menyembunyikannya dari korban.
- Meneruskan semua pesan SMS masuk dari tiga hari terakhir kepada penyerang.
- Membuka antarmuka untuk mengunggah foto dari galeri ponsel ke server penyerang.
- Mengirim SMS ke nomor acak.
Selain itu, penyerang dapat menunjukkan teks acak kepada korban dengan kotak untuk memasukkan informasi tambahan — dengan cara ini mereka dapat memanipulasi korban untuk mengirimkan kredensial tambahan, atau sekadar mengumpulkan lebih banyak informasi demi serangan lebih lanjut yang menggunakan rekayasa sosial (misalnya, untuk surat peringatan dari regulator atau lembaga penegak hukum). Mereka mungkin mencuri foto dari galeri untuk tujuan yang sama. Hal ini sangat berbahaya jika korbannya adalah pemilik usaha kecil: mereka sering menggunakan kamera ponsel untuk mengambil foto informasi bisnis dengan cepat.
Solusi keamanan kami mendeteksi malware yang didistribusikan selama serangan ini sebagai Trojan-Banker.AndroidOS.Mamont.
“Kampanye ini ditujukan secara eksklusif kepada pengguna ponsel pintar Android yang berbasis di Rusia. Para penyerang menekankan hal ini dan menolak untuk melakukan “pengiriman barang” ke tempat lain. Namun, perangkat milik penjahat siber sering kali tersedia secara bebas di darknet, jadi hal ini tidak menjamin bahwa pengguna dari negara lain kebal terhadap ancaman ini.” Komentar Dmitry Kalinin, pakar keamanan siber di Kaspersky.
Cara agar tetap aman
Kaspersky menyarankan untuk mengikuti aturan keselamatan sederhana guna menghindari ponsel pintar Anda terinfeksi malware ini (atau malware lainnya). Hal ini terutama berlaku jika ponsel digunakan tidak hanya untuk keperluan pribadi, tetapi juga untuk bisnis. Berikut adalah tips sederhana tersebut:
- Bersikap skeptis terhadap penawaran barang dan jasa yang sangat menguntungkan di internet (jika harganya jauh lebih rendah dari harga pasar biasanya, berarti penjual mendapatkan keuntungan dengan cara lain).
- Jangan menjalankan file .apk yang diperoleh dari sumber yang tidak dikenal – file tersebut harus diinstal dari toko resmi atau dari sumber resmi layanan tertentu.
- Gunakan solusi keamanan yang andal, yang akan mencegah malware diinstal pada perangkat Anda dan memblokir tautan berbahaya.
