Peneliti keamanan telah menemukan strain malware Android baru yang telah dirancang untuk mencuri data dari berbagai aplikasi perpesanan.

Trojan baru ini cukup sederhana dalam desainnya, kata peneliti dari perusahaan keamanan cyber Trustlook dalam sebuah laporan yang diterbitkan pada hari Senin.

Trojan ini hanya memiliki beberapa fitur

Malware Android baru ini hanya memiliki beberapa kemampuan. Yang pertama adalah mendapatkan boot persistence dengan membongkar kode dari sumber daya aplikasi yang terinfeksi. Kode akan mencoba untuk memodifikasi file “/system/etc/install-recovery.sh”, yang jika berhasil, akan memungkinkan malware dieksekusi pada saat setiap boot.

Kedua, malware dapat mengekstrak data dari klien IM Android berikut, data yang nantinya akan diunggah ke server remote. Malware mengambil IP server ini dari file konfigurasi lokal.

Malware ini mengumpulkan informasi dari aplikasi berikut:

  • Tencent WeChat
  • Weibo
  • Voxer Walkie Talkie Messenger
  • Telegram Messenger
  • Gruveo Magic Call
  • Twitter
  • Line
  • Coco
  • BeeTalk
  • TalkBox Voice Messenger
  • Viber
  • Momo
  • Facebook Messenger
  • Skype

Peneliti melihat malware di dalam aplikasi Cina bernama Cloud Module (dalam bahasa China), dengan nama paket com.android.boxa.

Fitur sederhana, tetapi memliki teknik evasion lanjutan

Peneliti Trustlook mengatakan bahwa meskipun fokus tunggalnya mencuri data IM, malware menggunakan beberapa teknik evasion lanjutan. Misalnya, malware menggunakan teknik pendeteksi anti-emulator dan debugger untuk menghindari analisis dinamis, dan juga menyembunyikan string di dalam source code nya untuk menggagalkan upaya reverse engineering.

Anehnya, malware Android baru ini hanya datang dengan satu fungsi tunggal, yaitu untuk mengekstrak dan mengeksfiltrasi data IM. Sebuah teori untuk pilihan desain ini adalah bahwa penyerang mengumpulkan percakapan pribadi, gambar, dan video, dalam upaya untuk mengidentifikasi data sensitif yang nantinya bisa mereka manfaatkan dalam upaya pemerasan, terutama terhadap korban berprofil tinggi.

Para peneliti belum membagikan informasi apa pun tentang metode distribusi malware, tetapi dengan mempertimbangkan bahwa malware tersebut memiliki nama Cina dan tidak ada Play Store di China, pembuat malware dapat mendistribusikan aplikasi jahat tersebut melalui toko pihak ketiga dan tautan di forum aplikasi Android.