TEMPO.CO, Jakarta - Peneliti telah menemukan lebih dari 280 aplikasi berbahaya Android yang menggunakan pengenalan karakter optik (OCR) untuk mencuri kredensial dompet mata uang kripto dari perangkat yang terinfeksi.

Aplikasi tersebut menyamar sebagai aplikasi resmi dari bank, layanan pemerintah, layanan streaming TV, dan utilitas. Faktanya, aplikasi tersebut menelusuri ponsel yang terinfeksi untuk mencari pesan teks, kontak, dan semua gambar yang tersimpan dan secara diam-diam mengirimkannya ke server jarak jauh yang dikendalikan oleh pengembang aplikasi. Aplikasi tersebut tersedia dari situs berbahaya dan didistribusikan dalam pesan phishing yang dikirim ke target. Tidak ada indikasi bahwa salah satu aplikasi tersebut tersedia melalui Google Play.

Tingkat kecanggihan yang tinggi

Hal yang paling menonjol tentang kampanye malware yang baru ditemukan itu adalah bahwa pelaku menggunakan perangkat lunak pengenalan karakter optik (OCR) dalam upaya untuk mengekstrak kredensial dompet mata uang kripto yang ditampilkan dalam gambar yang tersimpan di perangkat yang terinfeksi.

Banyak dompet memungkinkan pengguna untuk melindungi dompet mereka dengan serangkaian kata acak. Kredensial mnemonik lebih mudah diingat oleh kebanyakan orang daripada karakter acak yang muncul di kunci pribadi. Kata-kata juga lebih mudah dikenali manusia dalam gambar.

SangRyol Ryu, seorang peneliti di firma keamanan McAfee, menemukan hal tersebut setelah memperoleh akses tidak sah ke server yang menerima data yang dicuri oleh aplikasi jahat tersebut. Akses tersebut merupakan hasil dari konfigurasi keamanan yang lemah yang dibuat saat server tersebut digunakan. Dengan demikian, Ryu dapat membaca halaman yang tersedia untuk administrator server.

Satu halaman, yang ditampilkan dalam gambar di bawah, sangat menarik. Halaman tersebut menunjukkan daftar kata di dekat bagian atas dan gambar terkait, yang diambil dari ponsel yang terinfeksi, di bagian bawah. Kata-kata yang ditampilkan secara visual dalam gambar tersebut terlihat sesuai.

Halaman admin yang menampilkan rincian OCR. (McAfee/Ars Technica)

“Setelah memeriksa halaman tersebut, menjadi jelas bahwa tujuan utama para penyerang adalah untuk memperoleh frasa pemulihan mnemonik untuk dompet mata uang kripto,” tulis Ryu, sebagaimana dikutip Ars Technica, 7 September 2024. “Hal ini menunjukkan penekanan utama untuk mendapatkan akses dan kemungkinan menguras aset kripto korban.”

OCR adalah proses mengubah gambar teks yang diketik, ditulis tangan, atau dicetak menjadi teks yang dikodekan oleh mesin. OCR telah ada selama bertahun-tahun dan semakin umum digunakan untuk mengubah karakter yang ditangkap dalam gambar menjadi karakter yang dapat dibaca dan dimanipulasi oleh perangkat lunak.

Ryu melanjutkan, “Ancaman ini menggunakan Python dan Javascript di sisi server untuk memproses data yang dicuri. Secara khusus, gambar diubah menjadi teks menggunakan teknik pengenalan karakter optik (OCR), yang kemudian diatur dan dikelola melalui panel administratif. Proses ini menunjukkan tingkat kecanggihan yang tinggi dalam menangani dan memanfaatkan informasi yang dicuri.”

Orang-orang yang khawatir telah memasang salah satu aplikasi berbahaya harus memeriksa posting McAfee untuk mendapatkan daftar situs web terkait dan hash kriptografi.

Malware tersebut telah menerima beberapa pembaruan dari waktu ke waktu. Sementara sebelumnya menggunakan HTTP untuk berkomunikasi dengan server kontrol, sekarang terhubung melalui WebSockets, mekanisme yang lebih sulit diurai oleh perangkat lunak keamanan. WebSockets memiliki manfaat tambahan karena menjadi saluran yang lebih serbaguna.

Pengembang juga telah memperbarui aplikasi untuk mengaburkan fungsi berbahayanya dengan lebih baik. Metode pengaburan meliputi pengodean string di dalam kode sehingga tidak mudah dibaca oleh manusia, penambahan kode yang tidak relevan, dan penggantian nama fungsi dan variabel, yang semuanya membingungkan analis dan mempersulit pendeteksian. Meskipun malware tersebut sebagian besar terbatas di Korea Selatan, malware tersebut baru-baru ini mulai menyebar di Inggris.

"Perkembangan ini signifikan karena menunjukkan bahwa pelaku ancaman memperluas fokus mereka baik secara demografis maupun geografis," tulis Ryu. "Perpindahan ke Inggris menunjukkan upaya yang disengaja oleh para penyerang untuk memperluas operasi mereka, kemungkinan besar menyasar kelompok pengguna baru dengan versi malware yang dilokalkan."

Pilihan Editor: MAN IC Tanah Laut dan Universitas Binus Juara Samsung Innovation Campus Batch 5