Di era digital saat ini, keamanan siber menjadi perhatian utama bagi pengguna internet, terutama bagi mereka yang sering melakukan transaksi perbankan melalui perangkat mobile. Baru-baru ini, sebuah Trojan perbankan Android yang canggih telah terdeteksi oleh Cyble Research and Intelligence Labs (CRIL), yang menargetkan perangkat Android dengan meniru aplikasi pembaruan Google Play. Trojan ini, yang dinamakan "Antidot", memiliki berbagai fitur berbahaya, termasuk serangan overlay, keylogging, dan kemampuan pengaburan.
.
Antidot menyamar sebagai aplikasi pembaruan Google Play, menampilkan halaman pembaruan palsu setelah instalasi. Halaman pembaruan palsu ini telah dibuat dalam berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris, menunjukkan bahwa malware ini menargetkan pengguna Android di berbagai wilayah. Setelah pengguna memberikan izin Aksesibilitas, Trojan ini mengirimkan "pesan ping" pertama ke server bersama dengan data yang dienkripsi menggunakan Base64, yang berisi nama aplikasi malware, versi Software Development Kit (SDK), model ponsel, produsen ponsel, kode bahasa dan negara, serta daftar paket aplikasi yang terinstal.
.
Di latar belakang, malware ini memulai komunikasi dengan server command and control (C2) di "hxxp://46[.]228.205.159:5055/". Selain koneksi HTTP, Trojan ini juga membangun komunikasi WebSocket menggunakan library socket.io, yang memungkinkan komunikasi dua arah secara real-time antara server dan klien. Malware ini mempertahankan komunikasi ini melalui pesan "ping" dan "pong". Setelah server menghasilkan ID bot, Trojan Perbankan Antidot mengirim statistik bot ke server dan menerima perintah.
.
Trojan ini memiliki total 35 perintah, termasuk mengumpulkan pesan SMS, menginisiasi permintaan USSD, dan bahkan mengontrol jarak jauh fitur perangkat seperti kamera dan kunci layar. Fitur-fitur ini memungkinkan Antidot untuk melakukan berbagai aktivitas berbahaya, termasuk Virtual Network Computing (VNC), keylogging, serangan overlay, perekaman layar, penerusan panggilan, mengumpulkan kontak dan SMS, melakukan permintaan USSD, serta mengunci dan membuka kunci perangkat.
.
Penggunaan obfuscation string, enkripsi, dan penyebaran strategis halaman pembaruan palsu oleh Antidot menunjukkan pendekatan yang ditargetkan untuk menghindari deteksi dan memaksimalkan jangkauannya di berbagai wilayah berbahasa. Para peneliti Cyble menulis, "Pemanfaatan obfuscation string, enkripsi, dan penyebaran strategis halaman pembaruan palsu menunjukkan pendekatan yang ditargetkan yang bertujuan untuk menghindari deteksi dan memaksimalkan jangkauannya di berbagai wilayah berbahasa."
.
Untuk menghindari ancaman ini, pengguna disarankan untuk selalu memperbarui perangkat lunak mereka dari sumber resmi, tidak memberikan izin aksesibilitas kepada aplikasi yang mencurigakan, dan menggunakan solusi keamanan yang dapat diandalkan. Selain itu, penting bagi pengguna untuk tetap waspada dan menginformasikan diri mereka sendiri tentang tren terbaru dalam keamanan siber untuk melindungi data dan privasi mereka.
sumber
.
Antidot menyamar sebagai aplikasi pembaruan Google Play, menampilkan halaman pembaruan palsu setelah instalasi. Halaman pembaruan palsu ini telah dibuat dalam berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris, menunjukkan bahwa malware ini menargetkan pengguna Android di berbagai wilayah. Setelah pengguna memberikan izin Aksesibilitas, Trojan ini mengirimkan "pesan ping" pertama ke server bersama dengan data yang dienkripsi menggunakan Base64, yang berisi nama aplikasi malware, versi Software Development Kit (SDK), model ponsel, produsen ponsel, kode bahasa dan negara, serta daftar paket aplikasi yang terinstal.
.
Di latar belakang, malware ini memulai komunikasi dengan server command and control (C2) di "hxxp://46[.]228.205.159:5055/". Selain koneksi HTTP, Trojan ini juga membangun komunikasi WebSocket menggunakan library socket.io, yang memungkinkan komunikasi dua arah secara real-time antara server dan klien. Malware ini mempertahankan komunikasi ini melalui pesan "ping" dan "pong". Setelah server menghasilkan ID bot, Trojan Perbankan Antidot mengirim statistik bot ke server dan menerima perintah.
.
Trojan ini memiliki total 35 perintah, termasuk mengumpulkan pesan SMS, menginisiasi permintaan USSD, dan bahkan mengontrol jarak jauh fitur perangkat seperti kamera dan kunci layar. Fitur-fitur ini memungkinkan Antidot untuk melakukan berbagai aktivitas berbahaya, termasuk Virtual Network Computing (VNC), keylogging, serangan overlay, perekaman layar, penerusan panggilan, mengumpulkan kontak dan SMS, melakukan permintaan USSD, serta mengunci dan membuka kunci perangkat.
.
Penggunaan obfuscation string, enkripsi, dan penyebaran strategis halaman pembaruan palsu oleh Antidot menunjukkan pendekatan yang ditargetkan untuk menghindari deteksi dan memaksimalkan jangkauannya di berbagai wilayah berbahasa. Para peneliti Cyble menulis, "Pemanfaatan obfuscation string, enkripsi, dan penyebaran strategis halaman pembaruan palsu menunjukkan pendekatan yang ditargetkan yang bertujuan untuk menghindari deteksi dan memaksimalkan jangkauannya di berbagai wilayah berbahasa."
.
Untuk menghindari ancaman ini, pengguna disarankan untuk selalu memperbarui perangkat lunak mereka dari sumber resmi, tidak memberikan izin aksesibilitas kepada aplikasi yang mencurigakan, dan menggunakan solusi keamanan yang dapat diandalkan. Selain itu, penting bagi pengguna untuk tetap waspada dan menginformasikan diri mereka sendiri tentang tren terbaru dalam keamanan siber untuk melindungi data dan privasi mereka.
sumber