Serangan roaming mantis menjalar ke iOS

Ilustrasi

JAKARTA (IndoTelko) - Telah dilaporkan sebelumnya bahwa para peneliti dari Kaspersky Lab menemukan malware Android baru yang menyusupi router dan menggunakan metode pembajakan domain name system (DNS) untuk menyeberang menginfeksi smartphone.

Malware ini kebanyakan menarget kawasan Asia, setelah satu bulan ancaman ini berkembang dengan cepat dan memperluas target kawasannya termasuk ke Eropa dan Timur Tengah.

Kini diketahui malware ini juga menyerang perangkat berplatform iOS dan melakukan penambangan kripto.

Malware yang disebut dengan Roaming Mantis ini mencuri informasi pribadi pengguna dan memungkinkan pengambilalihan kontrol perangkat.

Para ahli mengungkapkan kelompok berbahasa Korea atau Tiongkok yang berada di belakang operasi ini bermotivasi mencari keuntungan finansial.

Penelitian awal Kaspersky Lab menemukan sekitar 150 target, terutama di Korea Selatan, Bangladesh, dan Jepang. Namun temuan tersebut juga menunjukkan adanya ribuan koneksi ke server pelaku setiap harinya sehingga mengindikasikan serangan dalam skala lebih besar.

Perluasan serangan juga terlihat dari jumlah bahasa yang dipakai untuk menampilkan pesan di smartphone “To better experience the browsing, update to the latest chrome version.” Dari hanya empat bahasa juga, sekarang mencapai 27 bahasa termasuk Melayu, Polandia, Jerman, Arab, Bulgaria dan Rusia.

Malware kini juga berkembang tidak hanya menyerang platform Android saja. Jika malware menyusupi smartphone berplatform iOS, maka pelaku akan mengarahkannya ke situs web yang bertemakan Apple.

Selain itu juga ditemukan pengarahan ke situs berbahaya dengan kemampuan penambangan kripto. Pengamatan Kaspersky Lab menunjukkan bahwa setidaknya satu gelombang serangan dengan cakupan lebih luas telah terjadi bahkan tercatat lebih dari 100 target di antaranya adalah pelanggan Kaspersky Lab diserang dalam beberapa hari saja.
 
“Ketika pertama kali kami melaporkan adanya Roaming Mantis pada bulan April lalu, kami mengatakan bahwa ini merupakan ancaman yang aktif dan dinamis. Bukti baru menunjukkan perluasan targetnya yang memasuki Eropa dan Timur Tengah, dan masih banyak lagi. Kami percaya bahwa para pelaku mencari keuntungan finansial dan terdapat petunjuk bahwa pelaku  berbahasa Cina atau Korea. Jelas terdapat motivasi yang cukup besar di balik ancaman ini, sehingga ancaman ini tidak akan hilang dalam waktu yang singkat. Terinfeksinya router dan pembajakan DNS menunjukkan betapa kebutuhan akan perlindungan perangkat dan penggunaan koneksi yang aman sangat diperlukan, ” kata Security Researcher di Kaspersky Lab Jepang  Suguru Ishimaru dalam keterangan, kemarin.

Temuan Kaspersky Lab menunjukkan bahwa pelaku di balik Roaming Mantis ini menyerang celah keamanan router dan selanjutnya mendistribusikan malware melalui trik sederhana yang efektif dengan membajak pengaturan DNS dari router tersebut.

Metode bagaimana serangan terhadap router dilakukan belum diketahui. Setelah DNS berhasil dibajak, maka aktifitas online yang dilakukan para korban akan selalu diarahkan ke URL dengan konten palsu yang berasal server pelaku. Akan muncul pesan berikut di layar smartphone: “To better experience the browsing, update to the latest chrome version.” Dengan mengklik tautan tersebut,  maka aplikasi Trojan bernama “facebook apk” atau “chrome apk” akan terinstalasi secara otomatis

Malware Roaming Mantis ini memeriksa apakah perangkat di-root dan meminta izin notifikasi dari setiap aktifitas komunikasi atau browsing yang dilakukan pengguna, Malware ini mampu mengumpulkan bermacam-macam data, termasuk kredensial untuk dua faktor otentifikasi.

Ketertarikan pelaku terhadap pengumpulan data ini  Ditemukannya pengumpulan data yang berhubungan dengan mobile banking dan aplikasi game di Korea Selatan mengindikasikan adanya motif keuangan di operasi ini.

Produk Kaspersky Lab mendeteksi ancaman Roaming Mantis sebagai 'Trojan-Banker.AndroidOS.Wroba', dan penambang kripto sebagai 'Dangerous URL blocked'.

Untuk melindungi koneksi internet Anda dari infeksi ini, Kaspersky Lab merekomendasikan  beberapa langkah sebagai berikut:

• Lihat panduan pengguna router untuk memverifikasi bahwa pengaturan DNS Anda belum diretas, atau hubungi ISP untuk mendapat bantuan

• Ubah login dan kata sandi pada web admin router dan perbarui firmware router secara rutin dari sumber resmi.

• Jangan pernah menginstal firmware router dari sumber pihak ketiga. Hindari menggunakan repositori pihak ketiga untuk perangkat Android Anda.

• Selanjutnya, selalu periksa alamat situs web yang Anda akses. Untuk memastikan keabsahannya, carilah tanda seperi “https” ketika diminta untuk memasukkan data.

• Pertimbangkan untuk memasang solusi keamanan seluler, seperti Kaspersky Internet Security untuk Android. Solusi ini dapat melindungi perangkat Anda dari ancaman siber dan berbagai kejahatan dunia maya lainnya.(ak)