Trojan MMRat yang menginfeksi platform perbankan di perangkat mobile yang sebelumnya tidak terdokumentasi bernama MMRat telah diamati menargetkan pengguna ponsel Android di Asia Tenggara sejak akhir Juni 2023. Mereka mengambil alih perangkat dari jarak jauh dan melakukan tindakan penipuan keuangan.
Baca Juga : Pemerintahan Indonesia Masih Jadi Sektor Yang Paling Rentan Serangan Siber
“Malware tersebut, yang diberi nama berdasarkan paket com.mm.user-nya, mampu merekam masukan pengguna dan memfilter konten, dan juga dapat mengontrol perangkat dari jarak jauh, sehingga memungkinkan operator untuk melakukan penipuan perbankan pada perangkat korban.” Ungkap Trend Mikro kepada The Hacker News.
Yang membedakan antara MMRat pada kasus ini dengan MMRat lainnya adalah penggunaan protokol perintah dan kontrol khusus (C2) berdasarkan buffering protokol (juga dikenal sebagai protobuf) untuk mentransfer data dalam jumlah besar dari ponsel secara efisien, hal ini yang menunjukkan semakin canggihnya perangkat lunak perusak Android. Kemungkinan sasarannya, bergantung pada bahasa yang digunakan di situs phishing, mencakup Indonesia, Vietnam, Singapura, dan Filipina.
Titik masuk serangannya adalah jaringan situs web phishing yang meniru toko aplikasi yang sah, meskipun saat ini tidak jelas bagaimana korban dialihkan ke tautan ini. MMRat sering menyamar sebagai aplikasi resmi pemerintah atau kencan. Setelah diinstal, aplikasi ini bergantung pada Layanan Aksesibilitas Android dan API MediaProjection, yang keduanya telah dieksploitasi oleh trojan perbankan Android lainnya yang disebut SpyNote untuk menjalankan operasinya.
Dikutip dari Cyberthreat Id, malware ini juga mampu menyalahgunakan hak aksesnya untuk memberikan izin lain dan mengubah pengaturan. Kemudian mengkonfigurasi kontinuitas antara reboot dan memulai komunikasi dengan server jarak jauh untuk menunggu instruksi dan mengambil hasil menjalankan perintah tersebut di server tersebut.
Trojan menggunakan kombinasi port dan protokol yang berbeda untuk fungsi seperti pemfilteran data, streaming video, dan kontrol C2. MMRat mampu mengumpulkan berbagai informasi pribadi dan data perangkat, termasuk kekuatan sinyal, status layar dan statistik baterai, aplikasi yang diinstal, dan daftar kontak. Diduga pelaku ancaman menggunakan informasi ini untuk melakukan semacam profil korban sebelum melanjutkan ke langkah berikutnya.
Baca Juga : Modus Penipuan Phishing Makin Mudah Pakai Bot Telegram Terbaru “Telekopye”
Beberapa fitur MMRat lainnya termasuk perekaman layar real-time dan tangkapan layar kunci yang memungkinkan penyerang mengakses perangkat korban dari jarak jauh saat perangkat terkunci dan tidak digunakan. “Malware MMRat menyalahgunakan layanan aksesibilitas untuk mengontrol perangkat korban dari jarak jauh, termasuk melakukan tindakan seperti gerakan, membuka kunci layar, dan memasukkan teks,” kata Trend Mikro.
“Ini dapat digunakan oleh pelaku kejahatan – bersama dengan kredensial yang dicuri – untuk melakukan penipuan bank.”
Serangan diakhiri dengan penghapusan MMRat setelah menerima perintah C2 UNINSTALL_APP, yang biasanya terjadi setelah transaksi penipuan berhasil, sehingga menghilangkan jejak infeksi dari perangkat. Untuk memitigasi ancaman yang ditimbulkan oleh malware yang kuat tersebut, pengguna hanya boleh mengunduh aplikasi dari sumber resmi, mencari ulasan aplikasi, dan memeriksa izin yang diminta oleh aplikasi sebelum menggunakannya.
