Malware SecuriDropper 'melewati' penghalang keamanan di ponsel Android

Menurut The Hacker News, malware Android dropper dirancang untuk bertindak sebagai saluran untuk memasang kode berbahaya pada perangkat, menjadikannya model bisnis yang menguntungkan bagi penyerang, serta mengiklankan kemampuan ini ke kelompok kriminal lainnya.

Setelan Terbatas adalah fitur keamanan yang diperkenalkan di Android 13 untuk mencegah aplikasi yang tidak ada di Google Play Store mengakses Aksesibilitas dan Pendengar Notifikasi. Jika suatu aplikasi diketahui meminta izin ini, Setelan Terbatas akan segera memperingatkan dan mencegah pengguna memberikan izin tersebut kepada aplikasi tersebut.

Menurut Bapak Vu Ngoc Son, Direktur Teknis Perusahaan Teknologi Keamanan Siber Nasional Vietnam NCS, aksesibilitas adalah hak yang telah digunakan oleh serangkaian malware yang menyamar sebagai aplikasi milik instansi pemerintah untuk mengendalikan ponsel dan mencuri uang dari pengguna di Vietnam selama ini, bahkan dalam kasus di mana korban kehilangan lebih dari 2 miliar VND hanya dalam beberapa menit. Malware ini hanya dapat menembus ponsel Android 12 atau lebih rendah, sementara pada ponsel Android 13 atau 14, malware ini akan terdeteksi dan diblokir melalui Pengaturan Terbatas.

Namun, teknik baru yang digunakan para peretas di SecuriDropper adalah dengan membagi proses instalasi menjadi beberapa langkah. Pertama, perangkat lunak palsu—tanpa izin khusus—akan ditipu agar terpasang di perangkat korban. Selanjutnya, perangkat lunak tersebut akan memanggil API Android untuk memalsukan sesi instalasi Google Play, yang memungkinkannya memasang malware di ponsel dan melewati Pengaturan Terbatas.

Malware kini dapat meminta izin Aksesibilitas dan Pendengar Notifikasi tanpa terdeteksi dan diblokir oleh sistem operasi. Bahkan pengguna yang telah memperbarui ke Android 14 terbaru pun masih dapat diserang malware menggunakan metode ini.

ThreatFabric, sebuah firma keamanan siber dari Belanda, mengatakan telah mengamati trojan perbankan seperti SpyNote dan ERMAC yang didistribusikan melalui SecuriDropper di situs web phishing dan platform pihak ketiga seperti Discord.

Menanggapi The Hacker News , Google menyatakan bahwa Setelan Terbatas akan menambahkan lapisan perlindungan ekstra di luar persetujuan pengguna, yang diperlukan aplikasi untuk mengakses setelan/izin Android. Pengguna juga dilindungi oleh Google Play Protect, yang dapat memperingatkan atau memblokir aplikasi yang berperilaku berbahaya di perangkat Android menggunakan Layanan Google Play. Google terus meninjau vektor serangan dan meningkatkan pertahanan Android terhadap malware untuk membantu menjaga keamanan pengguna.

Untuk tetap aman dari serangan, Tn. Vu Ngoc Son menyarankan pengguna Android untuk menghindari mengunduh file APK dari sumber yang tidak tepercaya.