Foto: Kaspersky
Tim Riset dan Analisis Global (Global Research and Analysis Team/GReAT) Kaspersky mendeteksi sebuah serangan siber baru yang menggunakan aplikasi berbagi pesan WhatsApp dan Telegram untuk menyebarkan undangan pernikahan palsu berisi malware stealer baru yang diberi label Tria Stealer.
Berdasarkan hasil temuan tim Kaspersky, serangan siber yang secara spesifik menyasar pengguna smartphone Android ini diduga berasal dari Indonesia, dan saat ini aktif menyerang sejumlah pengguna Android di Malaysia dan Brunei. Bukan tidak mungkin, serangan juga akan menyasar negara-negara lain di sekitarnya, termasuk Indonesia sendiri.
“Investigasi kami menunjukkan kemungkinan Tria Stealer dioperasikan oleh pelaku ancaman berbahasa Indonesia, karena temuan artefak yang ditulis dalam bahasa Indonesia, yaitu beberapa rangkaian unik yang tertanam dalam malware dan pola penamaan bot Telegram yang digunakan oleh para penyerang,” ungkap Fareed Radzi, Peneliti Keamanan di Kaspersky GreAT.
Tria Stealer didistribusikan sebagai berkas instalasi APK berupa undangan acara pernikahan yang memancing calon korban untuk menginstal APK tersebut, agar dapat melihat kartu undangan pernikahan palsu yang dikirim pelaku.
Tanpa sepengetahuan korban, link tersebut mengarahkan mereka ke sebuah aplikasi berbahaya yang akan terinstal secara otomatis, yang berujung pada pembajakan akun WhatsApp dan Telegram, dan menggunakannya untuk meminta uang pada daftar kontak yang ada.
Selain itu, serangan siber ini juga akan menyadap pesan SMS pengguna perangkat, sehingga penyerang mendapatkan kesempatan untuk memperoleh akses ke berbagai akun dan aplikasi seperti perbankan melalui kode OTP yang dikirmkan melalui pesan SMS.
Ciri-ciri Tria Stealer adalah sbb:
- Hadir sebagai undangan pernikahan digital dengan link berisi aplikasi berbahaya.
- Setelah terinstal, malware tersebut meminta izin yang memungkinkannya mengakses data dan fungsi sensitif, seperti membaca dan menerima pesan teks, memantau status smartphone, log panggilan, dan aktivitas jaringan.
- Melakukan tindakan seperti menampilkan peringatan tingkat sistem, berjalan di latar belakang, dan memulai secara otomatis setelah perangkat di-boot ulang.
Secara kolektif, izin ini memberikan kontrol yang signifikan atas operasi perangkat dan penyerang dapat menyadap notifikasi korban untuk mencuri pesan dan email. Aplikasi tersebut meniru aplikasi pengaturan sistem dengan ikon roda gigi (gear icon) untuk mengelabui korban agar berpikir bahwa permintaan dan aplikasi itu sah.
Pengguna juga diminta untuk memasukkan nomor telepon mereka, yang dikirimkan kepada penyerang beserta merek dan model perangkat. Semua data yang dicuri ditransfer ke penyerang melalui bot Telegram.
“Malware stealer ini dapat menimbulkan kerugian finansial yang serius dan pelanggaran privasi, dan sangat penting bagi pengguna individu dan korporat untuk selalu waspada dan menghindari mengikuti permintaan yang mereka terima secara online, meskipun permintaan tersebut berasal dari seseorang yang mereka kenal,” tutup Fareed.
