Rotexy Mobile Trojan Luncurkan 70.000 Serangan dalam Tiga Bulan – Spyware seluler yang berubah menjadi trojan perbankan dengan kemampuan ransomware berhasil meluncurkan lebih dari 70.000 serangan dalam waktu hanya tiga bulan.
Nama trojan tersebut sekarang adalah Rotexy yang dulunya dideteksi sebagai SMSThief. Saat ini Kaspersky Lab sedang meneliti lebih lanjut mengenai ancaman ponsel yang pertama kali terdeteksi pada tahun 2014 tersebut.
Memiliki Lebih dari Satu Saluran Komunikasi
Salah satu fitur yang membuatnya menonjol dari jenis trojan lain adalah penggunaan pada saat yang sama dari tiga saluran komunikasi terpisah untuk menerima perintah.
Para peneliti menemukan bahwa trojan tersebut mendapatkan instruksi melalui layanan Google Cloud Messaging (GCM) yang mengirimkan pesan dalam format JSON ke perangkat seluler.
Namun, saluran ini tidak akan berfungsi setelah 11 April 2019, karena Google telah menghentikannya.
Metode lain yang digunakan Rotexy untuk mengirimkan perintah ke sasaran yang disusupi adalah dari server command and control (C2), seperti malware pada umumnya.
Metode ketiga adalah berbasis SMS dan memungkinkan operator untuk mengontrol tindakan malware dengan mengirim pesan teks ke ponsel yang terinfeksi.
Versi terbaru dari Rotexy menargetkan sebagian besar pengguna yang berlokasi di Rusia, meskipun Kaspersky melihat korban lain di Ukraina, Jerman, Turki, dan beberapa negara lain juga.
Menurut data dari perusahaan keamanan, serangan besar-besaran terbaru terjadi antara Agustus dan Oktober.
Analis Malware, Tatyana Shishkova dan Lev Pinkman mendokumentasikan evolusi malware Rotexy, menandai perkembangan utama, seperti memproses komunikasi SMS atau menerapkan enkripsi AES ke pertukaran data antara target dan C2.
Mulai akhir 2016, trojan menunjukkan tanda-tanda bahwa fokusnya adalah pada pencurian data kartu bank pengguna melalui halaman phishing.
Kemudian, pengembang menambahkan halaman HTML yang menirukan formulir login untuk bank yang sah dan mengunci layar perangkat sampai korban memberikan informasi yang diperlukan.
Untuk membuat penipuan tampak legit, laman phising tersebut disediakan juga keyboard virtual yang seolah-olah menawarkan perlindungan terhadap aplikasi keylogging.
Untuk memikat korban agar menyerahkan data sensitif, halaman HTML yang ditampilkan di layar menginformasikan korban bahwa mereka akan menerima transfer uang. Untuk menerima dana, mereka perlu memberikan detail kartu.
Game Ransomware
Salahsatu kemampuan Rotexy yang menarik perhatian peneliti adalah kemampuannya untuk menyembunyikan komunikasi SMS dari korban dengan menempatkan ponsel dalam mode senyap dan mematikan layar ketika pesan tiba.
Fitur ransomware termasuk menampilkan halaman HTML dengan gambar seksual eksplisit dan pembekuan telepon. Jelas, membuka blokir perangkat dikondisikan dengan membayar tebusan.
Namun peneliti menemukan cara membuka blokir perangkat dengan mudah setelah mereka menemukan command yang memicu tindakan ini. Karena komunikasi juga dimungkinkan melalui SMS, mengirim “3458” dalam pesan teks mencabut hak istimewa admin dan “stop_blocker” menyegel transaksi.
Malware mungkin mulai mengulangi permintaannya untuk hak akses admin, dan masalah ini hilang setelah Rotexy dikeluarkan dari sistem: boot dalam safe mode dan hapus malware tersebut.
Para peneliti memperingatkan bahwa petunjuk ini bekerja pada versi malware saat ini dan mungkin tidak efisien dengan rilis mendatang. (yuyudhn/linuxsec)
