Chi boust – Peneliti keamanan baru-baru ini mengidentifikasi lebih dari 280 aplikasi Android berbahaya yang memanfaatkan teknologi pengenalan karakter optik (OCR) untuk mencuri kredensial dompet mata uang kripto dari perangkat yang terinfeksi. Aplikasi-aplikasi ini menyamar sebagai aplikasi resmi dari bank, layanan pemerintah, layanan streaming TV, dan utilitas lainnya. Mereka dirancang untuk menelusuri ponsel yang terinfeksi guna mencari pesan teks, kontak, dan gambar yang disimpan, lalu mengirimkan data tersebut secara diam-diam ke server yang dikendalikan oleh pengembang aplikasi.
280 Aplikasi Android Berbahaya Menggunakan Teknik Canggih dalam Serangan Malware
Aplikasi berbahaya ini tidak ditemukan di Google Play Store dan biasanya didistribusikan melalui situs web berbahaya atau pesan phishing yang ditujukan kepada target. Penemuan ini menunjukkan tingkat kecanggihan yang tinggi dalam teknik malware, dengan menggunakan OCR untuk mengekstrak kredensial kripto dari gambar-gambar yang disimpan di perangkat.
Baca Juga : Galaxy Quantum 5, Samsung Luncurkan Ponsel Teraman
OCR adalah teknologi yang mengubah gambar teks—baik yang diketik, ditulis tangan, maupun dicetak—menjadi teks yang bisa dibaca dan diproses oleh mesin. Teknik ini sudah ada sejak lama namun baru-baru ini digunakan dengan cara yang lebih canggih dalam konteks serangan ini. Banyak dompet mata uang kripto menggunakan frasa pemulihan mnemonik yang lebih mudah diingat dan dikenali oleh manusia dibandingkan dengan karakter acak dalam kunci pribadi. Ini menjadikan frasa mnemonik target yang menarik bagi penyerang.
Penemuan Ryu dan Teknik Pengolahan Data
SangRyol Ryu, seorang peneliti dari firma keamanan McAfee, memperoleh akses tidak sah ke server yang menerima data yang dicuri oleh aplikasi berbahaya ini. Akses ini diperoleh karena konfigurasi keamanan server yang lemah. Melalui akses ini, Ryu menemukan halaman yang menampilkan daftar kata di dekat bagian atas dan gambar terkait di bagian bawah. Halaman ini menunjukkan bahwa penyerang berusaha keras untuk mendapatkan frasa pemulihan dompet kripto, yang menunjukkan fokus utama mereka adalah mengakses dan menguras aset kripto korban.
Malware ini menggunakan Python dan JavaScript di sisi server untuk memproses data yang dicuri. Gambar diubah menjadi teks menggunakan OCR, lalu teks tersebut diatur dan dikelola melalui panel administratif. Proses ini menunjukkan penggunaan teknik yang sangat canggih untuk memanfaatkan informasi yang dicuri.
Selain itu, malware ini mengalami pembaruan dari waktu ke waktu. Awalnya menggunakan HTTP, kini beralih ke WebSockets untuk berkomunikasi dengan server kontrol. WebSockets memberikan saluran komunikasi yang lebih serbaguna dan sulit dideteksi oleh perangkat lunak keamanan. Malware juga telah diperbarui untuk mengaburkan fungsinya dengan lebih baik melalui teknik-teknik seperti pengkodean string dan penggantian nama fungsi serta variabel.
Walaupun sebagian besar malware ini terbatas di Korea Selatan, baru-baru ini juga mulai menyebar ke Inggris, menunjukkan upaya penyerang untuk memperluas cakupan geografis dan menargetkan pengguna baru dengan versi malware yang dilokalkan. Orang-orang yang khawatir terinfeksi disarankan untuk memeriksa daftar situs web terkait dan hash kriptografi yang diposting oleh McAfee.