Pakar keamanan dari Zscaler ThreatLabz melaporkan penemuan yang mengkhawatirkan: lebih dari 90 aplikasi Android di Play Store terinfeksi malware. Aplikasi-aplikasi tersebut telah diunduh lebih dari 5,5 juta kali oleh pengguna.
Trojan perbankan bernama Anatsa, atau dikenal sebagai Teabot, ditemukan bersembunyi di dalam aplikasi-aplikasi tersebut. Malware ini telah menyerang lebih dari 650 aplikasi lembaga keuangan di seluruh dunia, termasuk di Inggris, Eropa, Amerika Serikat, dan Asia. Tujuan utama Anatsa adalah mencuri data akses perbankan online dan menggunakannya untuk melakukan transaksi perbankan ilegal tanpa sepengetahuan korban.
Pada Februari 2024, Anatsa mencapai setidaknya 150.000 infeksi melalui Google Play dengan menyamarkan dirinya sebagai alat produktivitas. Pada Mei 2024, Anatsa kembali berhasil membobol Google Play, kali ini menyamar sebagai aplikasi “PDF Reader & File Manager” dan “QR Reader & File Manager.” Kedua aplikasi ini diunduh sekitar 70.000 kali sebelum Zscaler mengungkap infeksi tersebut.
Laporan Zscaler menunjukkan bahwa kategori aplikasi yang paling sering menjadi target adalah ‘tools,’ yang mencapai hampir 40%. Kategori ‘personalisasi’ dan ‘fotografi’ masing-masing mencapai 20% dan 13%. Anatsa menghindari deteksi malware Google dengan memuat komponen jahatnya dalam beberapa tahap. Pertama, aplikasi mengambil konfigurasi dan string penting dari server perintah dan kontrol peretas. Kemudian, aplikasi mengunduh file DEX dengan kode berbahaya dan mengaktifkannya di perangkat Android.
Baca Juga: Lonjakan Serangan Ransomware Ancam Perusahaan Lintas Sektor: Langkah Pencegahan Efektif
Selanjutnya, aplikasi mengunduh file konfigurasi dengan URL muatan Anatsa. File DEX tersebut kemudian mengambil dan menginstal malware sebenarnya sebagai file APK, menyelesaikan proses infeksi. File DEX juga memeriksa bahwa malware tidak dieksekusi di kotak pasir atau di dalam emulasi, yang akan membuat malware tetap tidak efektif.
Setelah Anatsa aktif di perangkat yang terinfeksi, ia mengunggah konfigurasi bot dan hasil pemindaian aplikasi ke server, kemudian mengunduh “suntikan” yang ditargetkan sesuai dengan lokasi dan profil perangkat korban.
Zscaler menyoroti bahwa Anatsa hanyalah salah satu jenis malware yang sangat aktif di Google Play. Secara keseluruhan, lebih dari 90 aplikasi terinfeksi (yang namanya tidak dipublikasikan oleh peneliti keamanan) telah diinstal oleh pengguna Android lebih dari 5,5 juta kali. Aplikasi-aplikasi ini menyamar sebagai alat bantu, aplikasi personalisasi, utilitas fotografi, aplikasi produktivitas, dan aplikasi kesehatan dan kebugaran.
Google telah menghapus aplikasi yang terinfeksi dari Play Store. Namun, pengguna tetap diminta berhati-hati dan hanya mengunduh aplikasi Android dari sumber resmi. Bahkan jika peretas mampu mengelabui mekanisme keamanan Google, pengguna harus membaca izin yang diminta aplikasi sebelum mengunduh dan mempertanyakan apakah otorisasi tersebut masuk akal atau terlalu berlebihan. Selain itu, waspadalah terhadap panggilan telepon yang mungkin diterima saat menggunakan aplikasi, terutama aplikasi perbankan saat melakukan transaksi.
