BeritaHukum & KriminalInternasionalSosialTeknologi

Gawat: Malware SpyAgent dari Korea Curi Akses Dompet Kripto Lewat Aplikasi Palsu

67
×

Gawat: Malware SpyAgent dari Korea Curi Akses Dompet Kripto Lewat Aplikasi Palsu

Share this article

Peneliti keamanan dari McAfee Labs, SangRyol Ryu, menemukan malware baru bernama SpyAgent yang berasal dari Korea. Malware ini memiliki kemampuan mencuri akses ke dompet kripto milik korbannya dengan cara menyusup ke ponsel korban melalui aplikasi palsu, seperti aplikasi perbankan, layanan pemerintah, hingga platform streaming.

Malware SpyAgent ini disebarkan menggunakan metode phishing dan rekayasa sosial untuk mengelabui korban agar mengunduh aplikasi yang sudah terinfeksi. Begitu terunduh, malware ini langsung membentuk koneksi ke server pengontrolnya yang memungkinkan kendali jarak jauh.

Ryu mengidentifikasi malware ini setelah menelusuri data yang telah dicuri oleh malware sebelumnya. Data curian tersebut ditemukan di sebuah server berbahaya, yang kemudian memberikan akses kepada Ryu untuk menyelidiki lebih lanjut. Dari penelusurannya, ditemukan lebih dari 280 aplikasi palsu yang mengandung malware SpyAgent.

Malware ini memiliki kemampuan unik yang membuatnya berbeda dari malware lain, yaitu penggunaan teknologi Optical Character Recognition (OCR). OCR digunakan untuk memindai foto-foto di perangkat korban guna mencari mnemonic keys โ€” kumpulan 12 kata yang digunakan untuk memulihkan akses ke dompet kripto. Mnemonic keys ini semakin populer karena lebih mudah diingat dibandingkan dengan serangkaian karakter acak.

SpyAgent juga memiliki berbagai trik untuk menghindari deteksi, seperti menampilkan layar pemuatan atau tampilan kosong untuk mengalihkan perhatian pengguna. Selain itu, malware ini juga memanfaatkan teknik seperti encoding string dan perubahan nama fungsi untuk menghindari pendeteksian oleh peneliti keamanan.

Serangan SpyAgent ini awalnya hanya menyasar pengguna di Korea, namun kini cakupannya telah meluas ke negara lain, termasuk Inggris. Malware ini juga mampu mengubah metode koneksinya dari HTTP ke WebSocket, memungkinkan komunikasi dua arah secara realtime dengan server pengontrolnya.

Selain itu, Ryu menemukan bahwa operasi backend SpyAgent cukup canggih, dilengkapi dengan panel admin untuk mengelola perangkat korban. Data yang dicuri diproses menggunakan bahasa pemrograman Python dan JavaScript di server mereka. Phishing message yang dibuat juga seolah-olah berasal dari kontak yang dikenal korban, seperti notifikasi palsu dari nomor telepon teman, sehingga lebih mudah dipercaya.

Leave a Reply

Your email address will not be published. Required fields are marked *