RADARPAPUA - Baru-baru ini, para ahli keamanan siber di Kaspersky telah mengumumkan hasil analisis terkait dengan kampanye terbaru yang dilakukan oleh Zanubis, sebuah trojan perbankan yang terkenal dengan kemampuannya dalam menyamar sebagai aplikasi yang sah.
Dalam investigasinya, Kaspersky juga menyoroti munculnya kriptor/loader AsymCrypt yang baru-baru ini muncul, serta aktivitas pencuri Lumma (Lumma stealer) yang terus berkembang. Temuan ini memberikan penekanan pada kebutuhan untuk meningkatkan keamanan digital secara keseluruhan.
Zanubis, sebuah trojan perbankan yang mengincar pengguna Android, pertama kali muncul pada Agustus 2022. Trojan ini memiliki target khusus pada pengguna keuangan dan kripto di Peru.
Untuk mengecoh pengguna, Zanubis berpura-pura sebagai aplikasi Android sah yang berasal dari Peru, meminta pengguna memberikan izin Aksesibilitas, dan dengan demikian memperoleh kendali atas perangkat.
Pada bulan April 2023, Zanubis mengalami perkembangan dengan menyamar sebagai aplikasi resmi yang terkait dengan organisasi pemerintah Peru, SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria). Ini adalah indikasi jelas dari tingkat kecanggihan yang terus meningkat dari trojan ini.
Penting untuk dicatat bahwa Zanubis menggunakan Obfuscapk, yang merupakan obfuscator terkenal untuk file APK Android, untuk menyembunyikan jejaknya. Setelah mendapatkan izin untuk mengakses perangkat, Zanubis menampilkan situs web SUNAT yang sebenarnya menggunakan WebView, sehingga tampak sah.
Dalam hal komunikasi dengan server pengontrolnya, Zanubis menggunakan WebSockets dan perpustakaan bernama Socket.IO, yang memungkinkannya untuk tetap terhubung dan beradaptasi bahkan dalam situasi masalah.
Salah satu fitur menonjol dari Zanubis adalah bahwa ia tidak memiliki daftar aplikasi target yang telah ditentukan. Sebaliknya, ia dapat diprogram dari jarak jauh untuk mencuri data saat aplikasi tertentu sedang berjalan. Bahkan, malware ini dapat membuat koneksi kedua, memberikan penjahat siber kendali penuh atas perangkat pengguna.
Namun, hal yang paling mengkhawatirkan adalah kemampuannya untuk menonaktifkan perangkat pengguna dengan menyamar sebagai pembaruan Android. Selain itu, Kaspersky telah mengidentifikasi AsymCrypt, sebuah cryptor/loader yang menargetkan dompet kripto dan dijual di forum bawah tanah.
Dalam penyelidikan yang lebih mendalam, Kaspersky menemukan bahwa AsymCrypt adalah versi evolusi dari pemuat DoubleFinger yang bertindak sebagai "garda depan" ke layanan jaringan TOR. Pembeli AsymCrypt dapat menyesuaikan metode injeksi, proses target, persistensi startup, dan jenis stub untuk DLL berbahaya.
Mereka juga dapat menyembunyikan muatan berbahaya dalam gumpalan terenkripsi dalam gambar .png yang diunggah ke situs hosting gambar. Eksekusi akan mendekripsi gambar tersebut, mengaktifkan payload di memori.
Selain itu, pelacakan ancaman siber yang dilakukan oleh Kaspersky juga mengarah kepada pencuri Lumma, sebuah rangkaian malware yang terus berkembang. Meskipun awalnya dikenal sebagai Arkei, Lumma yang telah berganti merek ini masih mempertahankan 46% atribut sebelumnya.
Dengan menyamar sebagai alat konversi file .docx ke .pdf, Lumma memanfaatkan distribusi manipulatif untuk memicu muatan berbahaya saat pengguna mengunggah kembali file dengan ekstensi ganda .pdf.exe.
Selama waktu tertentu, fungsi inti dari semua varian tetap sama, yaitu mencuri file cache, file konfigurasi, dan log dari dompet kripto. Selain berperan sebagai plugin browser, Lumma juga mendukung aplikasi Binance yang berdiri sendiri. Kemajuan Lumma termasuk perolehan daftar proses sistem, perubahan URL komunikasi, dan peningkatan teknik enkripsi.
Tatyana Shishkova, peneliti keamanan utama di GReAT Kaspersky, mengomentari temuan ini dengan mengatakan, “Penjahat siber tidak akan berhenti mengejar keuntungan finansial, dan mereka semakin memasuki ranah aset kripto, bahkan menyamar sebagai lembaga pemerintah untuk mencapai tujuan mereka.
Lanskap malware yang terus berkembang, seperti pencuri Lumma dengan banyak aspeknya dan ambisi Zanubis sebagai Trojan perbankan yang lengkap, menyoroti sifat dinamis dari ancaman-ancaman ini."
Dia menegaskan bahwa untuk melindungi diri dari ancaman yang terus berkembang ini, organisasi harus tetap waspada dan memperoleh informasi yang cukup. "Laporan intelijen memainkan peran penting dalam mengikuti perkembangan alat berbahaya dan teknik terbaru para penjahat siber, memberdayakan kita untuk tetap selangkah lebih maju dalam pertempuran yang sedang berlangsung demi keamanan digital,” tambah Tatyana.
Kaspersky memberikan beberapa rekomendasi untuk melindungi diri dari ancaman siber yang memiliki motif finansial. Pertama, mereka merekomendasikan melakukan pencadangan offline yang tidak dapat dirusak oleh penyusup, sehingga data penting selalu dapat diakses dalam situasi darurat.
Kemudian, disarankan untuk menginstal perlindungan ransomware di semua titik akhir, seperti solusi anti-ransomware atau yang sejenisnya. Ini akan membantu melindungi komputer dan server dari ransomware serta jenis malware lainnya, mencegah eksploitasi, dan kompatibel dengan solusi keamanan yang sudah terinstal sebelumnya.
Untuk mengurangi kemungkinan peluncuran penambang kripto, disarankan untuk menggunakan solusi keamanan khusus dan melakukan analisis perilaku guna mendeteksi aktivitas berbahaya dengan cepat. (jpg)
Editor : Tina Mamangkey