Peneliti keamanan di Cisco Talos telah menemukan varian malware Android baru yang didistribusikan dalam penyamaran sebagai aplikasi anti-virus palsu bernama “Naver Defender.” Dijuluki KevDroid, malware ini merupakan remote administration tool (RAT) yang dirancang untuk mencuri informasi sensitif dari perangkat Android yang disusupi, serta mampu merekam panggilan telepon.

Peneliti Talos menerbitkan rincian teknis pada hari Senin tentang dua varian terbaru KevDroid yang terdeteksi di alam bebas, menyusul penemuan awal Trojan oleh perusahaan keamanan cybersecurity Korea ESTsecurity dua minggu lalu.

Meskipun para peneliti tidak mengaitkan malware itu dengan kelompok peretasan atau yang disponsori negara, media Korea Selatan telah mengaitkan malware ini dengan kelompok spionase cyber “Grup 123” yang disponsori negara Korea Utara, terutama dikenal karena menargetkan target Korea Selatan.

Varian terbaru malware KevDroid, terdeteksi pada bulan Maret tahun ini, dan memiliki kemampuan berikut:

 

  • merekam panggilan telepon & audio
  • mencuri riwayat penelusuran web dan file
  • mendapatkan akses root
  • mencuri log panggilan, SMS, email
  • mengambil informasi lokasi perangkat setiap 10 detik
  • mengumpulkan daftar aplikasi yang terinstal

Malware ini menggunakan library open-source, yang tersedia di GitHub, untuk mendapatkan kemampuan merekam panggilan masuk dan keluar dari perangkat Android yang disusupi.

Meskipun kedua sampel malware memiliki kemampuan mencuri informasi yang sama di perangkat yang disusupi dan merekam panggilan telepon korban, salah satu varian tersebut bahkan mengeksploitasi kerentanan Android yang diketahui (CVE-2015-3636) untuk mendapatkan akses root pada perangkat yang disusupi.

Semua data yang dicuri kemudian dikirim ke server command-and-control (C2) yang dikontrol oleh penyerang, yang dihosting di PubNub Global Data Stream Network, menggunakan permintaan HTTP POST.

Para peneliti juga menemukan RAT lain, yang dirancang untuk menargetkan pengguna Windows, berbagi server C&C yang sama dan juga menggunakan PubNub API untuk mengirim perintah ke perangkat yang disusupi.

Bagaimana cara mencegah perangkat Android agar tidak terinfeksi oleh Malware?

Pengguna Android disarankan untuk secara berkala memeriksa ulang aplikasi yang dipasang di perangkat untuk menemukan dan menghapus jika ada aplikasi berbahaya/tidak dikenal tanpa sepengetahuan atau persetujuan kalian.

Malware Android seperti itu dapat digunakan untuk menargetkan perangkat kalian juga, jadi jika memiliki perangkat Android, sangat disarankan untuk mengikuti langkah-langkah sederhana ini untuk membantu menghindari hal ini terjadi pada kalian:

  • Jangan pernah menginstal aplikasi dari toko pihak ketiga.
  • Pastikan sudah memiliki Google Play Protect.
  • Aktifkan fitur ‘verifikasi aplikasi’ dari pengaturan.
  • Biarkan “Install dari sumber tidak dikenal” dinonaktifkan saat tidak menggunakannya.
  • Instal perangkat lunak anti-virus dan keamanan dari vendor cybersecurity yang terkenal.
  • Back-up data di perangkat secara rutin
  • Selalu gunakan aplikasi enkripsi untuk melindungi informasi sensitif apa pun di perangkat.
  • Jangan pernah membuka dokumen atau file yang tidak dikenal, meskipun terlihat dari seseorang yang kalian kenal.
  • Lindungi perangkat dengan pin atau kunci kata sandi sehingga tidak ada yang dapat memperoleh akses tanpa izin ke perangkat saat tidak dijaga.
  • Selalu perbarui perangkat dengan patch keamanan terbaru.