Malware Android Anatsa Menyusup ke Google Play dan Targetkan Bank di AS
Anatsa, malware perbankan Android yang dikenal licik, kembali menyusup ke Google Play Store. Kali ini, varian barunya menargetkan pengguna di Amerika Serikat dengan menyamar sebagai aplikasi produktivitas dan keuangan.
Ringkasan
Peneliti dari ThreatFabric mengungkap bahwa Anatsa, juga dikenal sebagai Teabot, berhasil masuk ke Google Play melalui aplikasi-aplikasi yang tampak sah. Setelah diunduh, malware ini perlahan mengaktifkan kemampuannya untuk mencuri kredensial perbankan, melakukan overlay login palsu, dan bahkan menjalankan transaksi otomatis dari perangkat korban.
Bagaimana Anatsa Bekerja?
- Tahap 1: Malware menyamar sebagai aplikasi sah (seperti PDF reader atau scanner dokumen) di Google Play.
- Tahap 2: Setelah diinstal, aplikasi mengunduh muatan jahat dari server C2 (Command & Control).
- Tahap 3: Anatsa memperoleh izin akses layanan (accessibility services) untuk mencuri data login, membaca SMS (OTP), dan mengontrol layar.
- Tahap 4: Menggunakan teknik automatic transfer system (ATS) untuk melakukan transaksi dari akun korban tanpa interaksi pengguna.
Target Serangan
- Lebih dari 90 aplikasi mobile banking di AS jadi target utama
- Bank besar dan lembaga keuangan lokal, termasuk yang sebelumnya belum pernah diserang
- Pengguna Android yang tidak curiga karena aplikasi berasal dari Google Play
Aplikasi Penampung (Dropper) yang Terdeteksi
Beberapa contoh aplikasi dropper Anatsa di Play Store:
- PDF Reader & File Manager
- CryptoTracker
- Phone Cleaner Lite
Aplikasi ini memiliki rating dan jumlah unduhan yang meyakinkan, sehingga sulit dibedakan dari aplikasi asli.
Pencegahan & Tips Keamanan
- Hati-hati dengan aplikasi produktivitas yang meminta izin berlebihan, seperti akses layanan aksesibilitas
- Gunakan solusi keamanan mobile yang kredibel
- Selalu cek ulasan pengguna dan riwayat developer
- Hindari mengklik tautan dari SMS/email mencurigakan, terutama yang meminta login ulang ke akun bank
Respons Google
Beberapa aplikasi berbahaya telah dihapus, namun proses moderasi Google Play tetap menjadi celah yang dimanfaatkan oleh pelaku.
