Menjadi seorang pendengar yang baik biasanya dianggap kualitas yang mengagumkan dalam diri seseorang. Namun, tentunya bukan kualitas ini yang Anda inginkan jika terkait dengan malware. Varian terbaru ancaman ransomware Android, Android.Lockdroid.E adalah pendengar yang sangat baik.
Bahkan jika Anda mengucapkan kata-kata yang tepat, mungkin Anda bisa mendapatkan kembali akses ke ponsel Anda. Ancaman tersebut kini menggunakan APIs pengenalan suara dan mengharuskan korbannya untuk menyebutkan kode untuk membuka kunci perangkat, alih-alih menggunakan metode tradisional yaitu dengan mengetiknya.
Setelah Android.Lockdroid.E menginfeksi sebuah perangkat menggunakan SYSTEM type window, korban tidak bisa mengakses perangkatnya. Malware ini kemudian menampilkan catatan berisi petunjuk untuk mendapatkan kembali akses tersebut.
Catatan tersebut ditulis dalam bahasa Tiongkok dan memberikan petunjuk mengenai cara untuk membuka perangkat tersebut. Ditampilkan pula identifikasi QQ Instant Messaging yang bisa dihubungi untuk menerima petunjuk lebih lanjut tentang cara membayar tebusan dan mendapatkan kode untuk membuka kunci perangkat. Karena perangkat pengguna terkunci, korban harus menggunakan perangkat lain untuk menghubungi penjahat cyber yang ada di balik ancaman tersebut.
Malware tersebut menggunakan APIs pengenalan suara dari pihak ketiga dan membandingkan kata-kata yang diucapkan secara heuristik dengan kode akses yang diharapkan. Jika input tersebut cocok, maka malware dapat membuka kunci layar perangkat tersebut.
Untuk beberapa kasus, kata-kata yang dikenali dinormalisasi guna mengakomodasi ketidakakuratan sekecil apapun yang bisa dikenali oleh pengenal suara otomatis.
Malware tersebut menyimpan gambar lockscreen dan kode akses/passcode yang relevan dalam salah satu file Assets dalam bentuk yang disandikan dengan padding tambahan. Saya dapat mengekstrak kode akses tersebut menggunakan script otomatis.
Sebelumnya, ada jenis Android.Lockdroid.E lain yang menggunakan tuntutan tebusan 2D barcode yang tidak efisien, yang mengharuskan pengguna untuk memindai kode pada lockscreen dengan perangkat lain untuk login ke aplikasi pesan untuk membayar tebusan tersebut. Hal ini menyulitkan korban untuk membayar tebusan dan mempersulit penyerang untuk menerima pembayaran. Teknik terbaru yang menggunakan pengenalan suara ini juga agak tidak efisien karena korban masih harus menggunakan perangkat lain untuk menghubungi penyerang.
Saat menganalisa jenis Android.Lockdroid.E terbaru, saya mengamati beberapa penerapan bug seperti intent firing pengenalan suara yang tidak sesuai dan kesalahan-kesalahan copy/paste. Nampak jelas bahwa penulis malware terus bereksperimen dengan metode-metode baru guna mencapai tujuan mereka yaitu memeras uang korban. Bisa dipastikan bahwa ini bukanlah trik terakhir yang kita lihat dari kelompok ancaman ini.
Mitigasi
Symantec menganjurkan pengguna untuk menerapkan praktik-praktik terbaik berikut ini agar tetap terlindungi dari ancaman seluler:
• Perbarui software Anda
• Hindari mengunduh aplikasi-aplikasi dari situs yang tidak dikenal dan hanya menginstal aplikasi-aplikasi dari sumber terpercaya
• Perhatikan perizinan yang diminta oleh setiap aplikasi
• Pasang aplikasi keamanan ponsel yang sesuai, seperti Norton, untuk melindungi perangkat dan data Anda
• Sering mem-backup data-data yang penting.
Ditulis Oleh: Dinesh Venkatesan, Principal Threat Analysis Engineer di Symantec