Jakarta, Dexpert.co.id – Malware di perangkat Android bernama FjordPhantom baru ditemukan dan menyasar korban di beberapa negara, termasuk Indonesia.
Malware ini menggunakan virtualisasi untuk menjalankan kode berbahaya dan mampu menghindari deteksi keamanan di sistem Android.
Analisis dari Promon, penemu FjordPhantom pertama kali, melaporkan bahwa malware saat ini menyebar melalui email, SMS, dan aplikasi perpesanan yang menargetkan aplikasi perbankan di Indonesia, Thailand, Vietnam, Singapura, dan Malaysia.
Korban ditipu supaya mengunduh aplikasi perbankan yang terlihat sah namun berisi kode berbahaya yang berjalan virtual untuk menyerang aplikasi perbankan asli milik korban, demikian menurut laporan yang dikutip dari Beepingcomputer, Jumat (8/12/2023).
FjordPhantom bertujuan mencuri kredensial rekening bank online dan memanipulasi transaksi dengan melakukan penipuan pada perangkat.
Korban ditipu untuk mengunduh aplikasi perbankan yang terlihat sah namun berisi kode berbahaya yang berjalan di lingkungan virtual untuk menyerang aplikasi bank asli.
Laporan Promon menyoroti kasus FjordPhantom yang mencuri US$280.000 dari satu korban. Ini bisa terjadi karena malware menggunakan skema rekayasa sosial, seperti panggilan yang diduga berasal dari agen layanan pelanggan bank.
Virtualisasi sebagai penghindaran di Android
Di Android, beberapa aplikasi dapat berjalan di tempat terisolasi yang dikenal sebagai “container” karena dianggap sebagai aplikasi yang sah.
FjordPhantom menggabungkan solusi virtualisasi dari proyek sumber terbuka untuk membuat wadah virtual di perangkat tanpa sepengetahuan pengguna.
Saat diluncurkan, malware tersebut menginstal APK aplikasi perbankan yang ingin diunduh pengguna dan mengeksekusi kode berbahaya dalam tempat yang sama, hingga menjadikannya bagian dari proses yang seolah asli.
Dengan cara itu, FjordPhantom dapat memasukkan kodenya untuk mengaitkan API utama yang memungkinkannya menangkap kredensial, memanipulasi transaksi, mencegat informasi sensitif, dan lainnya.
Di beberapa aplikasi, kerangka kerja malware juga memanipulasi elemen antarmuka pengguna agar secara otomatis menutup peringatan dan membuat korban tidak menyadari adanya penyusupan.
Promon mencatat bahwa trik virtualisasi ini mematahkan konsep keamanan ‘Android Sandbox’, yang mencegah aplikasi mengakses data satu sama lain atau mengganggu operasinya, karena aplikasi di dalam container tersebut berbagi sandbox yang sama.
Ini adalah serangan yang sangat licik karena aplikasi perbankan itu sendiri tidak dimodifikasi, sehingga deteksi gangguan kode tidak membantu menangkap ancaman tersebut.
Selain itu, malware juga mengaitkan API yang terkait dengan Layanan Google Play, agar API tersebut tampak tidak tersedia di perangkat, FjordPhantom dapat menghambat pemeriksaan keamanan terkait root.
Kaitan malware ini bahkan meluas hingga ke pencatatan log, sehingga berpotensi memberikan petunjuk kepada pengembang untuk melakukan serangan yang lebih bertarget pada aplikasi yang berbeda.
Google pun memberi tanggapan mengenai ancaman malware FjordPhantom. Raksasa mengatakan pengguna dilindungi oleh Google Play Protect yang dapat memberi peringatan atau memblokir aplikasi yang menunjukan perilaku berbahaya di perangkat Android.
“Pengguna dilindungi oleh Google Play Protect, yang dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya di perangkat Android dengan Layanan Google Play, meskipun aplikasi tersebut berasal dari sumber di luar Google Play,” kata juru bicara Google kepada Bleepingcomputer.
Artikel Selanjutnya
Awas Rekening Dibajak, Hapus 19 Aplikasi dari HP Android
(fab/fab)
