Awas! Ada Pencuri SMS di Android
Jakarta - Kaspersky menemukan 3 file APK (Android PacKage) dengan ukuran masing-masing 207 KB yang terdeteksi sebagai HEUR:Trojan-Spy.AndroidOS.Zitmo.a. Semua aplikasi tersebut berbahaya dan diciptakan untuk mencuri SMS yang masuk dari perangkat yang terinfeksi.Cara kerjanya, SMS tersebut akan diupload ke remote server dengan URL terenkripsi dan disimpan di dalam tubuh Trojan.
Tak lama kemudian, Kaspersky kembali menemukan 3 APK dengan fungsi yang sama pada tanggal 8, 13, dan 14 Juni lalu. Jadi, setidaknya ada 6 file yang berpura-pura menjadi Android Security Suite Premium, namun sebenarnya diciptakan untuk mencuri SMS pengguna.
Setelah terinfeksi, akan muncul icon perisai biru dengan nama Android Security Suite Premium.
Jika aplikasi tersebut dibuka, maka akan terlihat kode aktivasi yang dihasilkan.
Hal penting lainnya adalah bahwa aplikasi berbahaya ini dapat menerima perintah untuk uninstall sendiri serta mencuri sistem informasi sekaligus mengaktifkan/menonaktifkan aplikasi tersebut.
Memang bukan hal baru ada fungsi dengan kemampuan menerima dan menjalankan perintah maupun mencuri pesan SMS pada mobile (Android) malware. Namun tetap saja, ada sesuatu yang perlu diwaspadai pada file-file tersebut. Enam file C&C yang berhasil ditemukan Kaspersky pada file APK tersebut, antara lain:
android*****.com
android2u*****.com
androidve*****.net
android-s*****.net
soft2u*****.com
updatean*****.biz
Jika Anda membuka kelima link yang pertama di atas, tidak akan banyak informasi menarik atau berguna yang ditemukan. Namun jika Anda membuka domain C&C yang terakhir, Anda akan menemukan sesuatu.
"Itulah data palsu yang dimaksud. Jika Anda terus menelusuri dengan Google, misalnya simonich@inbox.ru, Anda akan menemukan lebih banyak domain yang didaftarkan kemabli tahun 2011 dengan menggunakan data palsu yang sama," kata Kaspersky.
Contohnya favoritopi ***** com, Akteriak ***** com, Basepol ***** com atau justdongwf3 *****.Info. Semua domain ini ditemukan oleh Kaspersky di ZeuS C & C database.
"Jadi, ada bagian baru dari malware Android yang mencuri pesan SMS yang masuk dan upload ke server remote. Salah satu domain remote server tersebut telah didaftarkan menggunakan data palsu yang sama yang digunakan untuk mendaftar ZeuS C & C pada tahun 2011," kata Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.
"Dan fungsi malware adalah hampir sama dalam sampel ZitMo tua. Oleh karena itu, kami menyebut 'Android Premium Security Suite' sebagai New ZitMo," pungkasnya
Post a Comment