Belakangan ini pandemi Covid-19 banyak dimanfaatkan oleh threat actor untuk menyebarkan fungsi malicious yang direkatkan pada aplikasi utilitas penanganan Covid-19. Salah satunya disebarkan melalui corona-virusapps[.]com, sebuah situs yang berisi informasi mengenai penyebaran virus corona. Pada halaman utama website tersebut disebutkan bahwa untuk mendapatkan informasi mengenai pesebaran virus corona pengguna diminta meng-install aplikasi mobile berbasis android yang bernama CoronaVirus-apps. Aplikasi CoronaVirus-apps merupakan Malware Mobile Application. Fungsi malicious yang ditambahkan pada aplikasi tersebut adalah Cerberus Banking Trojan yang merupakan malware pencuri kredensial akun perbankan. CoronaVirus-apps terdeteksi sebagai malicious pada 23/64 antivirus engine oleh VirusTotal.

Permission yang diminta ketika aplikasi tersebut di-install adalah izin membuat soket jaringan sehingga dimungkinkan dilakukannya initial access pada CnC. Kemudian aplikasi tersebut akan meminta berbagai izin yang normalnya tidak dibutuhkan oleh aplikasi yang semacam, misalnya izin untuk membaca nomor kontak; melakukan dan meng-intercept panggilan; membaca, mengirimkan dan menerima sms; membaca dan modifikasi SD card; mengakses audio records; identifikasi gawai; dan tidak menghiraukan perintah “sleep.” Melihat berbagai permission yang diminta aplikasi tersebut dapat dipastikan aplikasi tersebut berusaha mengumpulkan informasi pribadi pengguna.

Pada saat aplikasi CoronaVirus-apps.apk dijalankan, sebenarnya yang diaktifkan adalah accessibility service Cerberus Banking Trojan yang akan memberikan tambahan permission untuk mengirim pesan dan melakukan panggilan tanpa memerlukan interaksi pengguna untuk mentransmisikan seluruh informasi pribadi pengguna termasuk informasi mengenai kartu kredit, kredensial perbankan dan sebagainya ke server threat actor. Cerberus Banking Trojan juga akan menonaktifkan Play Protect untuk mencegah aplikasi tersebut tidak terdeteksi dan tidak terhapus. Hal tersebut menandakan bahwa perangkat sudah menjadi bagian dari botnet.

Berikut beberapa hal yang bisa dilakukan agar tidak terjebak oleh aplikasi malicious:

1. Unduh aplikasi hanya dari penyedia yang sah dan terverifikasi seperti Google Playstore untuk pengguna android serta Apps Store untuk pengguna IOS.
2. Cermati permission yang diminta oleh aplikasi, pastikan tidak ada informasi sensitif yang diakses oleh aplikasi.
3. Waspadai berbagai bentuk metode phishing dengan tidak mengklik tautan pada sumber yang tidak terkonfirmasi kebenarannya.
4. Nonaktifkan unknown source option pada perangkat android untuk menghindari pemasangan aplikasi dari sumber yang tidak sah
5. Pasang dan selalu update anti-virus pada perangkat serta lakukan scanning secara berkala.

ANALISIS CORONAVIRUS-APPS.APK