Ditemukan: 280 aplikasi Android yang menggunakan OCR untuk mencuri kredensial mata uang kripto

Peneliti telah menemukan lebih dari 280 aplikasi berbahaya untuk Android yang menggunakan pengenalan karakter optik untuk mencuri kredensial dompet mata uang kripto dari perangkat yang terinfeksi.

Aplikasi tersebut menyamar sebagai aplikasi resmi dari bank, layanan pemerintah, layanan streaming TV, dan utilitas. Faktanya, aplikasi tersebut menyisir ponsel yang terinfeksi untuk mencari pesan teks, kontak, dan semua gambar yang tersimpan dan diam-diam mengirimkannya ke server jarak jauh yang dikendalikan oleh pengembang aplikasi. Aplikasi tersebut tersedia dari situs jahat dan didistribusikan dalam pesan phishing yang dikirim ke target. Tidak ada indikasi bahwa salah satu aplikasi tersebut tersedia melalui Google Play.

Tingkat kecanggihan yang tinggi

Hal yang paling menonjol tentang kampanye malware yang baru ditemukan adalah bahwa pelaku ancaman di baliknya menggunakan perangkat lunak pengenalan karakter optik dalam upaya untuk mengekstrak kredensial dompet mata uang kripto yang ditampilkan dalam gambar yang disimpan pada perangkat yang terinfeksi. Banyak dompet memungkinkan pengguna untuk melindungi dompet mereka dengan serangkaian kata acak. Kredensial mnemonik lebih mudah diingat oleh kebanyakan orang daripada karakter acak yang muncul dalam kunci pribadi. Kata-kata juga lebih mudah dikenali oleh manusia dalam gambar.

SangRyol Ryu, seorang peneliti di firma keamanan McAfee, menemukan hal tersebut setelah memperoleh akses tidak sah ke server yang menerima data yang dicuri oleh aplikasi berbahaya tersebut. Akses tersebut merupakan hasil dari konfigurasi keamanan yang lemah yang dibuat saat server tersebut digunakan. Dengan demikian, Ryu dapat membaca halaman yang tersedia untuk administrator server.

Satu halaman, yang ditampilkan dalam gambar di bawah, sangat menarik. Halaman itu memperlihatkan daftar kata-kata di dekat bagian atas dan gambar yang sesuai, yang diambil dari ponsel yang terinfeksi, di bawahnya. Kata-kata yang ditampilkan secara visual dalam gambar tersebut sesuai dengan kata-kata yang sama.

Memperbesar / Halaman admin yang menampilkan rincian OCR.

Bahasa Indonesia: McAfee

“Setelah memeriksa halaman tersebut, menjadi jelas bahwa tujuan utama para penyerang adalah untuk mendapatkan frasa pemulihan mnemonik untuk dompet mata uang kripto,” tulis Ryu. “Hal ini menunjukkan penekanan besar pada upaya mendapatkan akses dan kemungkinan menguras aset kripto milik korban.”

Pengenalan karakter optik adalah proses mengubah gambar teks yang diketik, ditulis tangan, atau dicetak menjadi teks yang dikodekan oleh mesin. OCR telah ada selama bertahun-tahun dan semakin umum digunakan untuk mengubah karakter yang ditangkap dalam gambar menjadi karakter yang dapat dibaca dan dimanipulasi oleh perangkat lunak.

Ryu melanjutkan:

Ancaman ini menggunakan Python dan Javascript di sisi server untuk memproses data yang dicuri. Secara khusus, gambar diubah menjadi teks menggunakan teknik pengenalan karakter optik (OCR), yang kemudian diatur dan dikelola melalui panel administratif. Proses ini menunjukkan tingkat kecanggihan yang tinggi dalam menangani dan memanfaatkan informasi yang dicuri.

Orang-orang yang khawatir telah memasang salah satu aplikasi berbahaya harus memeriksa postingan McAfee untuk mendapatkan daftar situs web terkait dan hash kriptografi.

Malware ini telah menerima banyak pembaruan dari waktu ke waktu. Dulunya malware ini menggunakan HTTP untuk berkomunikasi dengan server kontrol, namun sekarang malware ini terhubung melalui Soket Webmekanisme yang lebih sulit diurai oleh perangkat lunak keamanan. WebSockets memiliki manfaat tambahan karena menjadi saluran yang lebih serbaguna.

Pengembang juga telah memperbarui aplikasi untuk lebih menyamarkan fungsi jahatnya. Metode pengaburan meliputi pengodean string di dalam kode sehingga tidak mudah dibaca oleh manusia, penambahan kode yang tidak relevan, dan penggantian nama fungsi dan variabel, yang semuanya membingungkan analis dan mempersulit pendeteksian. Meskipun malware tersebut sebagian besar terbatas di Korea Selatan, malware tersebut baru-baru ini mulai menyebar di Inggris.

“Perkembangan ini signifikan karena menunjukkan bahwa pelaku ancaman memperluas fokus mereka baik secara demografis maupun geografis,” tulis Ryu. “Perpindahan ke Inggris menunjukkan adanya upaya yang disengaja oleh para penyerang untuk memperluas operasi mereka, kemungkinan besar menyasar kelompok pengguna baru dengan versi malware yang dilokalkan.”