Bahaya, Malware Android PixPirate 'Penguras Uang' Punya Taktik Baru untuk Bersembunyi di HP

Android malware — Malware Android. Credit: phonearena.com

Liputan6.com, Jakarta - Malware Android baru yang mengincar perusahaan perbankan, PixPirate, dilaporkan punya metode baru untuk bersembunyi di HP atau ponsel sambil tetap aktif, meskipun aplikasi yang terinfeksi telah dihapus.

PixPirate adalah malware Android yang pertama kali didokumentasikan oleh tim Cleafy TIR pada bulan lalu, dan terlihat menargetkan bank-bank Amerika Latin.

Meskipun Cleafy mencatat bahwa aplikasi pengunduh terpisah meluncurkan malware tersebut, laporan itu tidak menyelidiki mekanisme persembunyian atau persistensinya.

Laporan IBM menjelaskan bahwa kasus ini bertentangan dengan taktik standar malware yang mencoba menyembunyikan ikonnya--mungkin dilakukan pada Android hingga versi 9--PixPirate tidak menggunakan ikon launcher.

"Hal ini memungkinkan malware tetap tersembunyi di semua versi Android terbaru hingga versi 14," kata IBM, dikutip dari BleepingComputer, Kamis (14/3/2024).

Tim peneliti IBM Trusteer memaparkan versi malware Android PixPirate baru menggunakan dua aplikasi berbeda yang bekerja sama untuk mencuri informasi dari perangkat.

Aplikasi pertama dikenal sebagai 'pengunduh' dan didistribusikan melalui APK (Android Package Files) yang disebar melalui pesan phishing, dikirim via WhatsApp atau SMS.

Aplikasi pengunduh ini meminta akses ke risky permissions pada saat instalasi, termasuk layanan a ksesibilitas. Kemudian melanjutkan untuk mengunduh dan menginstal aplikasi kedua (disebut droppee), merupakan malware perbankan PixPirate terenkripsi.

2 dari 4 halaman

Bagaimana Aplikasi Droppee Beraksi?

Ilustrasi HP Android. (Photo by Azamat E on Unsplash)

Aplikasi droppee tidak memperlihatkan aktivitas utama dengan "android.intent.action.MAIN" dan "android.intent.category.LAUNCHER" dalam manifesnya, sehingga tidak ada ikon yang muncul di layar beranda dan sama sekali tidak terlihat.

Sebaliknya, aplikasi droppee mengekspor layanan yang dapat dihubungkan dengan aplikasi lain, dihubungkan oleh pengunduh ketika ingin meluncurkan malware PixPirate.

Selain aplikasi dropper yang dapat meluncurkan dan mengontrol malware, pemicu ini dapat berupa booting perangkat, perubahan konektivitas, atau peristiwa sistem lainnya yang dideteksi oleh PixPirate, sehingga memungkinkannya berjalan di latar belakang HP.

"Droppee memiliki layanan bernama "com.companian.date.sepherd" yang diekspor dan dilengkapi intent-filter dengan custom action 'com.ticket.stage.Service.'," jelas analis IBM.

"Ketika pengunduh ingin menjalankan droppee, ia membuat dan mengikat layanan droppee ini menggunakan API "BindService" dengan flag "BIND_AUTO_CREATE" yang membuat dan menjalankan layanan droppee. Setelah pembuatan dan pengikatan layanan droppee, APK droppee diluncurkan dan mulai beroperasi," ucap sang analis menguraikan.

Bahkan jika korban menghapus aplikasi pengunduh dari perangkat, PixPirate dapat terus beraksi berdasarkan perangkat berbeda dan menyembunyikan keberadaannya dari pengguna.

3 dari 4 halaman

Transfer Uang Tersembunyi

Malware ini menargetkan platform pembayaran instan bernama Pix di Brasil, mencoba mengalihkan dana ke penyerang dengan mencegat atau memulai transaksi penipuan.

IBM mengatakan Pix sangat populer di Brasil, di mana lebih dari 140 juta orang menggunakannya untuk melakukan transaksi yang jumlahnya melebihi USD 250 miliar pada Maret 2023.

Kemampuan RAT PixPirate memungkinkannya mengotomatiskan seluruh proses penipuan, mulai dari mencuri kredensial pengguna dan kode otentikasi dua faktor hingga melakukan transfer uang Pix tanpa izin. Semuanya terjadi di latar belakang tanpa sepengetahuan pengguna, namun izin Layanan Aksesibilitas diperlukan untuk ini.

Terdapat juga mekanisme kontrol manual cadangan ketika metode otomatis gagal, memberikan penyerang saluran lain untuk melakukan penipuan pada perangkat.

Laporan Cleafy bulan lalu juga menyoroti penggunaan malvertising (malware advertising) dan kemampuan malware untuk menonaktifkan Google Play Protect, salah satu fitur keamanan inti Android.

Meskipun metode infeksi PixPirate bukanlah hal baru dan mudah diatasi dengan menghindari pengunduhan APK, tidak menggunakan ikon dan mendaftarkan layanan yang terikat pada peristiwa sistem adalah strategi baru yang mengkhawatirkan.

4 dari 4 halaman