Ribuan Spyware Menyusup di Play Store

Risiko mengunduh aplikasi di Google Play Store mungkin lebih minim ketimbang di toko-toko aplikasi pihak ketiga yang sudah dijamin banyak dipenuhi oleh jebakan dan beragam malware berbahaya. Ini bukan berarti kita lantas bisa berleha-leha saat ingin mengunduh di Google Play Store.

Google punya lapisan keamanan yang jauh lebih baik dari toko pihak ketiga, pengawasan dan kontrol yang dilakukan dikelola dengan baik, namun bukan jaminan tidak ada infiltrasi yang bisa masuk, di dunia ini tidak ada keamanan yang 100% sempurna. Terbukti seseorang berhasil membanjiri toko aplikasi pihak ketiga dan Google Play Store dengan seribu aplikasi berbahaya.

Aplikasi teersebut dapat memantau hampir semua hal yang dilakukan pengguna pada perangkat seluler mereka seperti merekam panggilan masuk atau melakukan panggilan keluar tanpa interaksi pengguna. Aplikasi Spyware ini disebut sebagai SonicSpy dan telah menyebar dengan agresif di semua toko aplikasi Android sejak bulan Februari dan disitribusikan dengan menyamar sebagai aplikasi perpesanan, menawarkan layanan pesan kepada pengguna Android.

Bahaya SonicSpy

Pada saat bersamaan, aplikasi spyware SonicSpy melakukan berbagai tugas berbahaya, termasuk merekam dan menerima panggilan diam-diam dari mikrofon, membajak kamera perangkat dan memotret, membuat panggilan keluar tanpa izin pengguna, dan mengirim pesan teks ke nomor yang dipilih oleh pelaku.

Selain itu, spyware SonicSpy juga mencuri informasi pengguna termasuk log panggilan, kontak dan informasi tentang titik akses Wi-Fi yang telah terhubung dengan perangkat yang terinfeksi, yang dapat dengan mudah digunakan untuk melacak lokasi pengguna.

Sejauh ini dari penelitian yang dilakukan, para peneliti menemukan bahwa ada tiga versi aplikasi pesan yang terinfeksi SonicSpy di Google Play Store dan telah diunduh ribuan kali. Ketiga aplikasi itu adalah Soniac, Hulk Messenger dan Troy Chat dan saat ini telah dihapus oleh tim keamanan Google, mereka masih banyak tersedia di toko aplikasi pihak ketiga bersama dengan aplikasi SonicSpy lainnya yang terinfeksi

Cara Kerja SonicSpy

Bila pengguna terinfeksi SonicSpy yang menyamar sebagai aplikasi pesan Soniac atau yang lainnya, setelah terinstal Soniac menghapus ikonnya dari menu smartphone kemudian menyembunyikan diri dari pandangan mata korban, lalu menghubungi server Command & Control untuk menginstal versi modifikasi dari aplikasi Telegram.

Aplikasi tersebut benar-benar mencakup banyak fitur berbahaya yang memungkinkan pelaku mendapatkan kontrol penuh dari perangkat yang terinfeksi dan mengubahnya menjadi mata-mata di saku korban yang dapat merekam audio, melakukan panggilan, mengambil foto, dan mengambil data pribadi pemilik ponsel, termasuk melakukan panggilan secara diam-diam, Log, kontak dan rincian tentang jalur akses Wi-Fi.

Sebelum dihapus oleh Google, aplikasi tersebut telah diunduh antara 1.000 dan 5.000 kali, namun karena ini adalah bagian dari keluarga dengan 1.000 varian, malware tersebut dapat menginfeksi ribuan ponsel lainnya.

Metode Pencegahan

Para peneliti di ESET sudah berulangkali mengingatkan bahaya aplikasi yang sering disusupkan atau disamarkan dalam aplikasi yang terlihat legitimate, sasaran utamanya adalah untuk mengelabui pengguna awam. Untuk terhindar dari malware penyusup seperti ini ESET menyarankan beberapa langkah pencegahan sebagai berikut:

  • Cara termudah untuk mencegah diri Anda menjadi sasaran malware pintar semacam itu, selalu waspadalah terhadap aplikasi yang mencurigakan, bahkan saat mengunduhnya dari Google Play Store resmi dan mencoba tetap pada merek tepercaya saja.

  • Selain itu, selalu lihat ulasan yang ditinggalkan oleh pengguna yang telah mengunduh aplikasi dan memverifikasi izin aplikasi sebelum memasang aplikasi apa pun bahkan dari toko aplikasi resmi dan memberikan izin yang relevan sesuai dengan kegunaan aplikasi.

  • Jangan pernah mengunduh aplikasi dari sumber pihak ketiga. Meskipun dalam kasus ini, aplikasi juga didistribusikan melalui Play Store resmi, korban paling sering terinfeksi malware semacam itu melalui toko aplikasi pihak ketiga yang tidak tepercaya.

  • ESET menyarankan semua pengguna menggunakan antivirus yang super ringan pada perangkat, selain tidak akan membebani kinerja ponsel, adanya antivirus ini dapat mendeteksi dan memblokir semua malware yang ingin masuk, sebelum menginfeksi perangkat. Selalu update semua aplikasi dalam ponsel.

Dari hasil penelitian diyakini malware SonicSpy dikembangkan oleh pengembang yang berbasis di Irak, dilihat dari adanya 73 instruksi jarak jauh yang dieksekusi pelaku pada perangkat Android terinfeksi. Hubungan Irak dengan spyware berasal dari kesamaan antara SonicSpy dan SpyNote malware Android lain yang dikembangkan oleh peretas asal Irak.

Banyak indikator menunjukkan bahwa kedua malware diciptakan oleh pelaku yang sama. Misal, kedua malware berbagai kesamaan kode, lalu secara teratur menggunakan layanan DNS dynamic dan berjalan pada port non standar yang sama 2222. Indikator yang paling jelas terlihat pada nama akun pengembang di belakang Soniac yang tercantum di Google Play Store yaitu iraqiwebservice.

Sumber berita:
http://thehackernews.com
https://www.bleepingcomputer.com