KONTEKS.CO.ID – SoumniBot jadi malware yang paling nasabah bank di Korea Selatan takuti. Malware ini menggunakan teknik baru guna mengelabui sistem pengamanan.
Malware menggunakan teknik kebingungan yang tidak konvensional guna melewati deteksi dan mencuri berbagai data korban. Termasuk kredensial perbankan.
Secara tradisional, pembuat malware menggunakan berbagai alat untuk menghalangi analisis dan deteksi kode. SoumniBot mengambil pendekatan unik dengan mengeksploitasi bug dalam proses ekstraksi dan parsing manifes Android.
Manifes Android, sebuah file penting yang disertakan dalam setiap paket aplikasi Android (APK), berisi informasi penting tentang komponen aplikasi, izin, dan data lainnya.
SoumniBot memanfaatkan tiga teknik kebingungan utama dalam manifes untuk menghindari deteksi. Teknik tersebut adalah:
Nilai metode kompresi tidak valid
SoumniBot memanipulasi bidang dalam header entri ZIP manifes untuk memanfaatkan rutin validasi metode kompresi khusus manifes. Sehingga memungkinkan malware menyematkan kode yang dikaburkan.
Ukuran manifes tidak valid:
Karena parser manifes membuang overlay, hal ini memungkinkan penyerang memasukkan ukuran entri manifes yang salah untuk menghambat analisis.
Nama Namespace yang Panjang:
SoumniBot menggabungkan string yang terlalu panjang dalam definisi namespace XML manifes. Sehingga membebani beberapa alat penguraian dan menjadikan manifes tidak dapat terbaca.
Setelah menginfeksi perangkat, SoumniBot diam-diam beroperasi di latar belakang, mengumpulkan serangkaian data korban yang komprehensif
Data yang malware SoumniBot sedot:
- Daftar kontak
- Pesan SMS dan MMS
- Foto dan video
- Alamat IP dan lokasi
- Sertifikat digital untuk perbankan online
Malware mengirimkan informasi yang tercuri ke server jarak jauh yang penyerang kendalikan. SoumniBot menargetkan sertifikat digital yang bank-bank Korea gunakan, memungkinkan penyerang melewati metode otentikasi. Lalu berpotensi mencuri dana dari korban yang tidak menaruh curiga.
“Seperti biasa, pembuat malware berusaha menginfeksi sebanyak mungkin perangkat sambil tetap bersembunyi. Upaya tanpa henti ini mendorong mereka untuk mengembangkan teknik penghindaran deteksi yang inovatif,” tutur Dmitry Kalinin, peneliti Kaspersky, Rabu 24 April 2024.
SoumniBot mencontohkan hal ini dengan sempurna. Untuk melewati langkah-langkah keamanan potensial, pelaku ancaman mengeksploitasi kelemahan dalam pemrosesan manifes Android.
“Kami telah merinci teknik-teknik ini untuk meningkatkan kesadaran siber di kalangan peneliti keamanan. Karena teknik ini dapat keluarga malware gunakan di masa depan. SoumniBot sangat mengkhawatirkan karena menargetkan sertifikat digital Korea untuk mobile banking. Hal yang jarang terjadi pada malware mobile,” kata Dmitry Kalinin.
Belum terketahui, apakah malware pemangsa rekening online ini beredar juga di Indonesia. ***
Baca berita pilihan konteks.co.id lainnya di:
"Google News"