SinyalMagz.com – Baru-baru ini sebuah riset Kaspersky telah menemukan malware Android baru yang didistribusikan melalui Teknik Pembajakan Domain Name System (DNS) yang menjadikan smartphone sebagai sasaran di sebagian besar Asia.
Disebut dengan “Roaming Mantis”, karena malware ini bekerja aktif dan dirancang untuk mencuri informasi pengguna dan mengambil alih perangkat Android korban.
Dikatakan, antara Februari dan April 2018, riset mendeteksi penyebaran malware ini di lebih dari 150 jaringan yang berlokasi di sebagian besar di Korea Selatan, Bangladesh, dan Jepang. Tetapi sasarannya kemungkinan lebih dari itu.
Para peneliti dari Kaspersky Lab mempercayai bahwa para pelaku kejahatan cyber bertujuan mendapatkan keuntungan finansial dari operasi ini.
Menurut Vitaly Kamluk, selaku Director of the Global Research Analysis Team (GReAT) APAC, kasus ini pertama kali dilaporkan oleh media Jepang, yang setelah kami lakukan riset lebih mendalam, ditemukan bahwa acaman ini tidak berasal dari sana.
Kenyataannya, kami menemukan beberapa indikasi bahwa di balik serangan ini terdapat pelaku yang berbicara bahasa Cina atau Korea.
Lebih jauh, korban tidak hanya berlokasi di Jepang saja. karena Roaming Mantis yang kelihatannya berfokus di Korea dan Jepang, mungkin berdampak lebih besar.
Temuan dari Kaspersky Lab mengindikasikan bahwa penyerang di balik malware ini mencari router dengan celah keamanan, dan kemudian mendistribusikan malware melalui trik yang sederhana. Namun efektif dengan cara membajak DNS dari router yang diserang.
Bagaimana metode menyerang router masih belum diketahui?
Setelah DNS berhasil dibajak, setiap usaha pengguna mengakses website apa pun diarahkan ke URL yang kelihatan seperti asli dengan konten palsu yang berasal dari server penyerang. Pengguna nantinya akan menemukan permintaan: “To better experience the browsing, update to the latest chrome version.”
Klik pada link tersebut akan memicu instalasi aplikasi Trojan dengan nama “Facebook Apk” atau “Chrome Apk” yang menjadi backdoor Android penyerang.
Malware Roaming Mantis memeriksa apakah perangkat di-root dan meminta izin untuk dinotifikasi akan adanya aktivitas komunikasi dan browsing yang dilakukan oleh pengguna.
Hal ini memberikan kemampuan bagi penyerang untuk mengumpulkan banyak data, termasuk kredensial untuk otentifikasi.
Riset juga menemukan bahwa beberapa kode malware mengarah kepada mobile banking dan ID aplikasi game yang populer di Korea Selatan. Indikasi-indikasinya menunjukkan adanya motivasi mengambil keuntungan finansial dari gerakan ini.
Sementara Kaspersky Lab menemukan adanya 150 target, analisa lebih jauh juga menunjukkan terjadi ribuan koneksi ke server penyerang secara harian, yang menunjukkan kemungkinan akan adanya serangan yang lebih besar.
Rancangan malware Roaming Mantis menunjukkan adanya kemungkinan untuk didistribusikan lebih luas di kawasan Asia. Di antaranya mendukung empat bahasa: Korea, Cina sederhana, Jepang, dan Inggris.
Sedangkan pelaku lebih banyak menggunakan bahasa Korea dan Cina sederhana.