SpyNote: Waspadai Trojan Android yang Merekam Audio dan Panggilan Telepon

 

Trojan perbankan Android yang dikenal sebagai SpyNote telah dibedah untuk mengungkap beragam fitur pengumpulan informasinya.

 Biasanya menyebar melalui kampanye SMS phishing, rantai serangan yang melibatkan spyware mengelabui calon korban agar menginstal aplikasi dengan mengeklik tautan yang tertanam, menurut F-Secure.

 Selain meminta izin invasif untuk mengakses log panggilan, kamera, pesan SMS, dan penyimpanan eksternal, SpyNote dikenal menyembunyikan kehadirannya dari layar beranda Android dan layar Terbaru dalam upaya untuk mempersulit deteksi.

“Aplikasi malware SpyNote dapat diluncurkan melalui pemicu eksternal,” kata peneliti F-Secure Amit Tambe dalam analisis yang dipublikasikan minggu lalu. "Setelah menerima maksudnya, aplikasi malware meluncurkan aktivitas utama."

 Namun yang paling penting, ia meminta izin aksesibilitas, kemudian memanfaatkannya untuk memberikan izin tambahan untuk merekam audio dan panggilan telepon, mencatat penekanan tombol, serta menangkap tangkapan layar ponsel melalui MediaProjection API.

 Pemeriksaan lebih dekat terhadap malware tersebut telah mengungkapkan adanya apa yang disebut layanan diehard yang bertujuan untuk menolak upaya, baik yang dilakukan oleh korban atau oleh sistem operasi, untuk menghentikannya.

Hal ini dicapai dengan mendaftarkan penerima siaran yang dirancang untuk memulai ulang secara otomatis setiap kali akan dimatikan. Terlebih lagi, pengguna yang mencoba mencopot pemasangan aplikasi berbahaya dengan membuka Pengaturan akan dicegah dengan menutup layar menu melalui penyalahgunaan API aksesibilitas.

 “Sampel SpyNote adalah spyware yang mencatat dan mencuri berbagai informasi, termasuk penekanan tombol, log panggilan, informasi tentang aplikasi yang diinstal, dan sebagainya,” kata Tambe. "Itu tetap tersembunyi di perangkat korban sehingga sulit untuk menyadarinya. Ini juga membuat pencopotan pemasangan menjadi sangat rumit."

"Korban pada akhirnya hanya memiliki pilihan untuk melakukan reset pabrik, sehingga kehilangan semua data dalam prosesnya." Pengungkapan ini terjadi ketika perusahaan keamanan siber Finlandia merinci aplikasi Android palsu yang menyamar sebagai pembaruan sistem operasi untuk menarik target agar memberikan izin layanan aksesibilitas dan mengambil SMS dan data bank.