Pelaku ancaman menargetkan lembaga keuangan, dompet cryptocurrency, dan platform pembayaran virtual dengan meniru aplikasi Android Orange S.A. milik Orange Telecom yang mencoba mencuri kredensial login.
Laporan tersebut berasal dari para peneliti di Lookout, yang mencatat bahwa kampanye jahat tersebut masih dalam tahap pengujian dan pengoptimalan.
Perlu diketahui, Anubis pertama kali muncul di forum peretasan Rusia pada tahun 2016, dibagikan sebagai trojan perbankan open-source dengan instruksi untuk mengimplementasikan klien dan komponennya.
Pada tahun-tahun berikutnya, Anubis mendapat pengembangan lebih lanjut, dan kode yang lebih baru terus dibagikan secara terbuka di antara para aktor.
Pada 2019, malware menambahkan apa yang tampak sebagai modul ransomware yang hampir berfungsi dan menemukan jalan untuk masuk ke Google Play Store melalui aplikasi palsu.
Selanjutnya pada tahun 2020, Anubis kembali melalui kampanye phishing skala besar, menargetkan 250 aplikasi belanja dan perbankan.
Anubis akan menampilkan formulir login phishing palsu ketika pengguna membuka aplikasi untuk platform yang ditargetkan untuk mencuri kredensial. Layar overlay ini akan ditampilkan di atas layar login aplikasi yang sebenarnya untuk membuat korban berpikir bahwa itu adalah formulir login yang sah. Padahal pada kenyataannya, kredensial yang dimasukkan dikirim ke penyerang.
“Sebagai malware trojan perbankan, tujuan Anubis adalah mengumpulkan data penting tentang korban dari perangkat seluler mereka untuk keuntungan finansial,” kata laporan Lookout.
“Ini dilakukan dengan mencegat SMS, keylogging, exfiltrasi file, pemantauan layar, pengumpulan data GPS, dan penyalahgunaan layanan aksesibilitas perangkat,” tambah peneliti.
Versi jahat dari aplikasi manajemen akun Orange Telecom telah dikirim ke Google Play Store pada Juli 2021 dan kemudian dihapus, tetapi para peneliti memperingatkan bahwa mereka yakin kampanye ini hanyalah uji perlindungan antivirus Google dan kemungkinan akan segera muncul kembali.
“Kami menemukan bahwa upaya penyamaran hanya diterapkan sebagian di dalam aplikasi dan ada pengembangan tambahan yang masih terjadi dengan server command-and-control (C2),” tambah laporan itu.
Trik Baru dari Malware ini
Setelah diunduh di perangkat, trojan perbankan membuat koneksi dengan server command-and-control (C2) dan mengunduh aplikasi lain untuk memulai proxy SOCKS5.
“Proxy ini memungkinkan penyerang untuk menegakkan otentikasi untuk klien yang berkomunikasi dengan server mereka dan menutupi komunikasi antara klien dan C2. Setelah diambil dan didekripsi, APK disimpan sebagai 'FR.apk' di '/data/data/fr.orange.serviceapp/app_apk,'” tulis para peneliti.
Sebuah pesan penipuan kemudian muncul meminta pengguna untuk menonaktifkan Google Play Protect, memberikan penyerang kontrol penuh, kata laporan itu.
Para analis menemukan lebih dari 394 aplikasi unik yang ditargetkan oleh fr.orange.serviceapp, termasuk bank, perusahaan kartu yang dapat diisi ulang, dan dompet cryptocurrency. Tim Lookout melacak klien Anubis ke platform perdagangan crypto yang setengah jadi.
Tim Lookout tidak dapat menemukan serangan yang berhasil terkait dengan kampanye Orange S.A., kata Kristina Balaam, peneliti ancaman di Lookout, kepada Threatpost.
“Meskipun kami tidak dapat memastikan apakah aplikasi tersebut telah digunakan dalam serangan yang berhasil, kami tahu mereka menargetkan bank-bank AS termasuk Bank of America, U.S. Bank, Capital One, Chase, SunTrust, dan Wells Fargo,” kata Balaam.
Temukan artikel atau berita tentang keamanan siber hanya disini, Bagikan berita ini jika dirasa perlu, ikuti kami di Facebook dan Linkedin, terima kasih.
Posting Komentar