Kali ini kita akan membahas jenis operasi phising pengguna seluler yang tidak umum, dimana teknik yang digunakan memasang aplikasi phising dari situs web pihak ketiga tanpa mengharuskan pengguna mengizinkan pemasangan aplikasi pihak ketiga.
Bagi pengguna iOS, tindakan seperti itu dapat mematahkan asumsi tentang keamanan menyeluruh. Di Android, hal ini dapat mengakibatkan pemasangan diam-diam jenis APK khusus, yang setelah diperiksa lebih lanjut bahkan tampak dipasang dari Google Play Store.
Analis ESET menemukan serangkaian operasi phising yang menargetkan pengguna seluler yang menggunakan tiga mekanisme pengiriman URL yang berbeda. Mekanisme ini meliputi
- Panggilan suara otomatis.
- Pesan SMS.
- Malvertising media sosial.
Mekanisme Operasi Phising Pengguna Seluler
Berikut merupakan pemaparan mengenai tiga mekanisme pengiriman URL berbeda yang digunakan dalam oeprasi phising pengguna seluler.
Mekanisme 1
Pengiriman panggilan suara dilakukan melalui panggilan otomatis yang memperingatkan pengguna tentang aplikasi perbankan yang sudah ketinggalan zaman dan meminta pengguna untuk memilih opsi pada papan ketik numerik. Setelah menekan tombol yang benar, URL phising dikirim melalui SMS.
Mekanisme 2
Pengiriman awal melalui SMS dilakukan dengan mengirimkan pesan tanpa pandang bulu ke nomor telepon Ceko. Pesan yang dikirim menyertakan tautan phising dan teks untuk merekayasa korban secara sosial agar mengunjungi tautan tersebut.
Mekanisme 3
Penyebaran melalui iklan jahat dilakukan dengan mendaftarkan iklan di platform Meta seperti Instagram dan Facebook. Iklan ini menyertakan ajakan untuk bertindak, seperti penawaran terbatas bagi pengguna yang “mengunduh pembaruan di bawah”.
Teknik ini memungkinkan pelaku ancaman untuk menentukan target audiens berdasarkan usia, jenis kelamin, dll. Iklan tersebut kemudian akan muncul di umpan media sosial korban.
Cara Kerja Phising
Setelah membuka URL yang dikirimkan pada tahap pertama, korban Android disajikan dengan halaman phising berkualitas tinggi yang meniru halaman Google Play Store resmi untuk aplikasi perbankan yang ditargetkan, atau situs web tiruan untuk aplikasi tersebut.
Ini adalah dua operasi yang berbeda. Ada kemungkinan bahwa operasi yang memanfaatkan visual Google Play akan memodifikasi dirinya sendiri berdasarkan User-Agent yang diterima, untuk meniru visual Apple Store.
Dari sini, korban diminta untuk memasang “versi baru” aplikasi perbankan. Bergantung pada jenis serangan, mengklik tombol instal/perbarui akan meluncurkan pemasangan aplikasi berbahaya dari situs web, langsung di ponsel korban, baik dalam bentuk WebAPK (khusus untuk pengguna Android), atau sebagai PWA (Progressive Web Application) untuk pengguna iOS dan Android (jika serangan tidak berbasis WebAPK).
Langkah pemasangan yang krusial ini mengabaikan peringatan peramban tradisional tentang “memasang aplikasi yang tidak dikenal”: ini adalah perilaku default teknologi WebAPK Chrome, yang disalahgunakan oleh para pelaku.
Prosesnya sedikit berbeda untuk pengguna iOS, karena pop-up animasi memberi petunjuk kepada korban tentang cara menambahkan PWA phising ke layar beranda mereka. Pop-up tersebut meniru tampilan perintah iOS asli. Pada akhirnya, bahkan pengguna iOS tidak diperingatkan tentang menambahkan aplikasi yang berpotensi berbahaya ke ponsel mereka.
Setelah pemasangan, korban diminta untuk menyerahkan kredensial perbankan internet mereka untuk mengakses akun mereka melalui aplikasi perbankan seluler yang baru. Semua informasi yang dikirimkan dikirim ke server C&C pelaku.
Alur Phising
Alur phising berikut ini merupakan teknik serangan phising terhadap pengguna Android dan pengguna iOS, sebagai berikut
Android
Operasi ini menargetkan pengguna Android, berkat visual dan animasi Google Play yakni dalam kasus operasi phising terhadap bank terkemuka.
Seluruh alur dimulai dengan tautan phising yang disebarkan oleh beberapa iklan berbahaya di Facebook. Iklan-iklan ini didaftarkan secara massal, seringkali lima atau enam sekaligus, dengan setiap pendaftaran pada waktu yang terpisah. Pelaku ancaman menggunakan akun Meta yang dibuat khusus dan mungkin akun yang disusupi.
Iklan jahat tersebut mencakup maskot resmi bank, serta logo dan teks bank yang menjanjikan hadiah finansial setelah memasang aplikasi atau memperingatkan pengguna bahwa pembaruan penting telah diluncurkan.
Dalam contoh kasus, tawaran hadiah finansial dalam waktu terbatas digunakan untuk menarik korban agar mengunjungi tautan berbahaya tersebut. Setelah mengunjungi tautan tersebut, pengguna diminta dengan halaman Google Play yang meyakinkan, meskipun palsu. Ini adalah situs tempat WebAPK phising diunduh.
Situs tersebut memeriksa penggunaan klien seluler melalui header HTTP User-Agent. Jika korban memang menggunakan perangkat seluler, tombol “Instal” akan meminta korban untuk menginstal melalui pop-up. Jika header User-Agent ditujukan untuk desktop, tombol instal tidak akan berfungsi. Perintah tersebut juga meniru animasi Google Play, yang selanjutnya meningkatkan kredibilitas operasi ini.
iOS
Operasi lain menargetkan pengguna sistem iOS dan Android. Situs-situs ini memanfaatkan visual aplikasi terkenal di halaman arahan dan meminta korban untuk menginstal versi baru. Pengguna Android diarahkan untuk menginstal WebAPK, dan pengguna iOS diarahkan ke PWA.
Setelah instalasi, PWA/WebAPK phising ditambahkan ke layar beranda pengguna, dan membukanya akan mengarah ke halaman login phising, langsung di aplikasi.
Di samping semua rintangan yang disebutkan sebelumnya bagi pengguna biasa, tab info aplikasi juga menyatakan bahwa aplikasi tersebut diunduh dari Google Play Store, yang merupakan perilaku default. Ini berlaku untuk semua aplikasi WebAPK.
Aplikasi phising dan URL phising yang dibahas dalam postingan ini telah dilaporkan ke ČSOB. Aplikasi phising tersebut tidak pernah tersedia di Google Play Store.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: