Waspada! Cerberus, Virus Kejam di Bisnis Rental Trojan Perbankan yang Nyamar di Instalasi Adobe Flash Player

Dengan Cerberus membuat penjahat siber bisa mengendalikan perangkat Android yang terinfeksi dari jarak jauh
Waspada! Cerberus, Virus Kejam di Bisnis Rental Trojan Perbankan yang Nyamar di Instalasi Adobe Flash Player
Cerberus, anjing penjaga neraka (Threatpost)

Jakarta, Nusantaratv.com - Jutaan pengguna Android harus mewaspadai trojan perbankan baru yang kejam, bernama Cerberus. Cerberus aslinya adalah nama anjing berkepala tiga penjaga Neraka dalam mitos Yunani Kuno.

Dengan Cerberus membuat penjahat siber bisa mengendalikan perangkat Android yang terinfeksi dari jarak jauh. Cerberus juga memiliki kemampuan seperti umumnya trojan perbankan Android, antara lain overlay attack (menimpa layar aplikasi lain yang sedang aktif), kontrol SMS, dan mencuri daftar kontak.

Menurut pembuatnya, yang cukup terbuka di Twitter dan mengejek periset keamanan siber serta industri antivirus, Cerberus dibuat dari nol, bukan menggunakan atau memodifikasi kode dari trojan perbankan yang ada. 

Cerberus juga telah digunakan selama 2 tahun terakhir untuk kepentingan pribadi pembuatnya sebelum ditawarkan untuk disewa secara terbuka.

Menurut Threat Fabric, di blog https://www.threatfabric.com/blogs pada 13 Agustus 2019, RAT (remote access trojan) yang disewakan ini sudah memiliki 30 target, yakni 15 aplikasi perbankan dari Prancis, Amerika Serikat (AS), Jepang, dan 15 aplikasi non perbankan. 

Bahkan, periset dari Threat Fabric telah menganalisis sampel Cerberus. Hasilnya, malware ini diketahui memiliki kemampuan, di antaranya mengambil screenshot, merekam suara dan ketikan keyboard ponsel, mengontrol SMS, termasuk menerima dan menghapus SMS, mencuri daftar kontak, mencuri kredensial akun, menghapus aplikasi lain, mengunci layar ponsel.

Malware ini akan menyembunyikan ikonnya dari menu aplikasi dan meminta izin akses mengatasnamakan layanan Flash Player. Setelah mendapat izin, malware akan menghubungi server Command and Control (C&C) yang akan mengendalikan ponsel.

Catatan penting dari Threat Fabric, malware ini tidak mengeksploit celah keamanan Android untuk menginfeksi ponsel. Malware ini terpasang melalui taktik rekayasa sosial, yang bisa berwujud phishing atau click bait. 

Selain harus berhati-hati saat mengunduh lampiran email atau menklik tautan yang mencurigakan juga menginfeksi perangkat dengan menyamar sebagai instalasi Adobe Flash Player.

Setelah diinstal, unduhan palsu meminta izin aksesibilitas yang memungkinkan terjadinya serangan. Malware menutupi layar masuk untuk aplikasi perbankan, mencuri kredensial untuk operatornya.

Cerberus juga memiliki teknik penghindaran yang licik dengan menggunakan accelerometer pada perangkat yang terinfeksi untuk memastikan targetnya secara real.
 
Dilansir dari Forbes, Senin (19/8/2019), Lukas Stefanko, Peneliti keamanan ESET, mengatakan ia menemukan Cerberus pada Juni, atau beberapa hari setelah dipublikasikan di forum underground.

"Meskipun mereka tahu saya adalah analis malware android. Tapi, mereka mencoba menjual Cerberus bot mereka kepada saya. Mereka membuat profil di mana satu-satunya hal yang perlu saya lakukan adalah membelinya. Namun tujuan saya adalah untuk mendapatkan sampel yang berfungsi dan alamat C&C untuk menganalisisnya dengan benar," ujar Stefanko.

Selang beberapa hari, Stefanko dan kolega mendeteksi kampanye aktif menggunakan Trojan perbankan baru ini dengan ribuan kunjungan situs web yang mengandung muatan. "Cerberus disebarkan melalui situs web palsu yang meminta pengguna memasang Adobe Flash Player," ungkapnya.

Stefanko menjelaskan pengembang Cerberus menggunakan kerangka kerja web di mana setiap orang dapat memeriksa statistik kunjungan situs web, sehingga ditemukan negara mana yang menjadi target dengan jumlah kunjungan situs yang sebenarnya.

Selama kurang lebih dua pekan, Stefanko melacak lebih dari 13.000 kunjungan ke situs web Cerberus palsu, yang sebagian besar berasal dari pengguna di Amerika Serikat (AS) dan Jepang.

Pada waktu yang hampir bersamaan, Cerberus terlihat disewa di forum underground oleh tim di ThreatFabric. Pengembang malware mengklaim telah digunakan secara pribadi selama dua tahun sebelumnya, dan itu 'ditulis dari awal' dan tidak 'meminjam' kode dari malware yang ada, membuatnya lebih sulit untuk dideteksi.

Tentu saja tidak ada kode sumber Anubis yang bocor di dalam Cerberus. Para peneliti juga menjelaskan bahwa bisnis sewa trojan perbankan bukan hal baru.

"Itu adalah model bisnis yang ada ketika malware perbankan berbasis komputer adalah satu-satunya bentuk malware perbankan dan telah bergeser ke Android dalam beberapa tahun kemudian," terangnya.

Cerberus kerap hadir sebagai lampiran di media sosial, sehingga pengguna harus waspada sebelum mengklik. Malware menggunakan aplikasi Flash Player-nya untuk menipu pengguna agar memberikan hak aksesibilitas.

Malware kemudian dapat memberikan dirinya sendiri hak tambahan untuk mengontrol perangkat, mengirim pesan, dan melakukan panggilan. Bahkan dapat menonaktifkan Google Play Protect untuk menghindari deteksi otomatis.

Cerberus sendiri dirancang untuk menghindari deteksi dari analis malware berbasis-meja dengan menunda aktivasi hingga dapat mengonfirmasi bahwa perangkat itu milik pengguna asli yang menjadi targetnya. 

Dan hal yang paling menonjol dari Cerberus adalah para pengembang menggunakan Twitter untuk memposting konten promosi (bahkan video) tentang malware, dan mengolok-olok komunitas antivirus, berbagi tangkapan layar deteksi dari VirusTotal (sehingga bocor IoC) dan bahkan terlibat dalam diskusi dengan peneliti malware secara langsung.

ThreatFabric memperingatkan bahwa Cerberus tidak boleh dianggap enteng. Karena dapat  mencuri daftar kontak, mengirim pesan, mencuri kredensial. Dan overlaynya tidak terbatas pada aplikasi perbankan, ia dapat menyerang pesan atau akun lain menggunakan teknik yang sama.

Model sewanya menarik, dengan memastikan malware dapat berevolusi dan menyebar dengan cepat, dan meningkatkan kemungkinan kerusakan selama masa pakainya.

Ada juga pertanyaan tentang cakupan aplikasi sejauh ini, seperti AS, Prancis, dan Jepang. Jika itu dibuat sesuai pesanan, maka model rental akan dengan cepat menambahkan lebih banyak.

Jadi, berhati-hatilah dengan apa yang Anda unduh dan instal di smartphone, karena malware seperti Cerberus dirancang untuk mencuri berbagai akses pribadi, dan Anda harus bisa menghindari deteksi tersebut dengan cara yang lebih pintar.