Foto: Kaspersky
Virus Trojan versi baru kembali mengancam pengguna perangkat Android, kali ini bernama Trojan Necro yang telah berhasil diidentifikasi oleh para ahli Kaspersky di akhir Agustus 2024. Trojan Necro yang pertama kali ditemukan di Rusia, Brasil, Vietnam, Ekuador dan Meksiko ini, menyusup di Google Play sebagai aplikasi versi tiruan.
Aplikasi tiruan berisi Trojan Necro ini adalalah hasil modifikasi dari aplikasi resmi seperti Spotify, WhatsApp, hingga aplikasi game Minecraft, yang secara tampilan sangat mirip dengan aplikasi resminya. Trojan Necro menyerang korbannya dengan cara mengunduh dan menjalankan komponen berbahaya pada perangkat yang terinfeksi.
Cara kerja Trojan Necro adalah dengan mengunduh modul ke smartphone yang terinfeksi, lalu secara otomatis mengklik jendela-jendela iklan yang muncul. Kemudian, Trojan ini akan mengnduh file serta menginstal aplikasi pihak ketiga, serta membuka tautan acak di jendela WebView yang tidak muncul pada perangkat smartphone, lalu mengeksekusi kode JavaScript.
Berdasarkan karakteristik teknisnya, Trojan tersebut kemungkinan juga mampu membuat pengguna berlangganan layanan berbayar. Selain itu, modul yang diunduh memungkinkan penyerang untuk mengalihkan traffic internet melalui perangkat korban.
Hal tersebut memungkinkan penjahat siber yang menggunakan Trojan Necro untuk mengunjungi situs-situs berbahaya menggunakan perangkat korban, sehingga berpotensi untuki digunakan sebagai bagian dari botnet proksi.
Ciri-ciri aplikasi tiruan hasil modifikasi yang berisi Trojan Necro:
- Spotify Plus: Pembuat aplikasi tiruan tersebut mengklaim bahwa aplikasinya aman untuk perangkat dan menawarkan fitur tambahan yang tidak ditemukan pada aplikasi streaming musik resmi.
- WhatsApp: Tampilannya menyerupai aplikasi WhatsApp resmi, sehingga perlu ketelitian pengguna perangkat sebelum mengunduh.
- Aplikasi Game: Trojan Necro disematkan ke dalam aplikasi Minecraft, Stumble Guys dan Car Parking Multiplayer melalui modul iklan yang tidak terverifikasi.
Selain itu, Trojan Necro juga ditemukan pada aplikasi pihak ketiga yang muncul di Google Play seperti Wuta Camera dan Max Browser. Menurut statistik Google Play, unduhan gabungan dari kedua aplikasi ini telah melebihi 11 juta.
Pada kedua aplikasi tersebut, Necro juga didistribusikan melalui modul iklan yang tidak terverifikasi. Setelah laporan Kaspersky ke Google, kode berbahaya tersebut dihapus dari Wuta Camera, dan Max Browser dihapus dari Google Play.
Dmitry Kalinin sebagai pakar keamanan siber di Kaspersky mengatakan bahwa para pelaku kejahatan siber ini mengincar pengguna perangkat yang sering mengunduh aplikasi tidak resmi, demi mendapatkan akses fitur tambahan secara gratis.
“Versi Necro yang tertanam dalam aplikasi ini menggunakan teknik steganografi, menyembunyikan muatannya dalam gambar agar tidak terdeteksi – metode yang sangat langka untuk malware seluler,” tambah Dmitry.
Agar terhindar dari ancaman siber Trojan Necro ini, pakar Kaspersky menghimbau pengguna perangkat smartphone atau tablet untuk selalu mengunduh aplikasi hanya dari sumber resmi saja, serta rutin melakukan pembaruan sistem operasi dan aplikasi yang terinstal secara berkala.
