Bandar Kripto Mesti Waspada, Kaspersky Ungkap Bahayanya Evolusi Trojan Zanubis

Perusahaan keamanan siber global, Kaspersky, baru-baru ini menganalisis kampanye terbaru yang dilakukan Zanubis, sebuah trojan perbankan Android yang terkenal karena mahir menyamar sebagai aplikasi sah. Kaspersky menyoroti bahwa cryptor/loader AsymCrypt yang baru-baru ini ada dan pencuri Lumma (Lumma stealer) terus berkembang. Hal ini menggarisbawahi kebutuhan akan peningkatan keamanan digital. 

Dilansir dari keterangannya pada Senin (2/10/2023), Zanubis yang muncul pada Agustus 2022, menargetkan pengguna keuangan dan kripto di Peru. Dengan meniru aplikasi Android Peru yang sah, aplikasi ini menipu pengguna agar memberikan izin aksesibilitas, sehingga menyerahkan kendali. 

Baca Juga: Rangkuman dari VC: Investor Amati Analisis Blockchain, Game, dan Privasi Kripto

Pada bulan April 2023, Zanubis berevolusi, menyamar sebagai aplikasi resmi untuk organisasi pemerintah Peru SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), yang menunjukkan peningkatan akan kecanggihan trojan ini. Zanubis dikaburkan dengan bantuan Obfuscapk, obfuscator populer untuk file APK Android. Setelah mendapat izin untuk mengakses perangkat, ia menipu korban dengan memuat situs web SUNAT asli menggunakan WebView, sehingga tampak sah.

Untuk berkomunikasi dengan server pengontrolnya, ia menggunakan WebSockets dan perpustakaan yang disebut Socket.IO. Ini memungkinkannya untuk beradaptasi dan tetap terhubung meskipun terdapat masalah. 

Tidak seperti malware lainnya, Zanubis tidak memiliki daftar aplikasi target yang tetap. Sebaliknya, ia dapat diprogram dari jarak jauh untuk mencuri data ketika aplikasi tertentu sedang berjalan.

Malware ini bahkan membuat koneksi kedua, yang dapat memberikan penjahat siber kendali penuh atas perangkat pengguna. Dan yang terburuk adalah, ini dapat menonaktifkan perangkat pengguna dengan berpura-pura menjadi pembaruan Android.

Baca Juga: Kaspersky Temukan Dugaan Phishing yang Tiru WormGPT di Darknet untuk Transaksi Pembayaran

Penemuan terbaru lainnya adalah AsymCrypt cryptor/loader, yang menargetkan dompet kripto dan dijual di forum bawah tanah. Ini adalah versi pemuat DoubleFinger yang telah berevolusi, bertindak sebagai "garda depan" ke layanan jaringan TOR. Pembeli menyesuaikan metode injeksi, proses target, persistensi startup, dan jenis stub untuk DLL berbahaya, menyembunyikan muatan dalam gumpalan terenkripsi dalam gambar .png yang diunggah ke situs hosting gambar. Eksekusi mendekripsi gambar, kemudian mengaktifkan payload di memori.