REPUBLIKA.CO.ID, JAKARTA – Dua malware baru yang menargetkan pengguna Android telah ditemukan di Google Play bernama CherryBlos dan FakeTrade. Menurut laporan dari perusahaan keamanan siber Trend Micro, malware tersebut dirancang untuk mencuri kredensial dan dana mata uang kripto, atau melakukan penipuan dengan menggunakan pengenalan karakter optik (OCR).
CherryBlos dan FakeTrade menggunakan infrastruktur jaringan dan sertifikat yang sama, mengindikasikan keduanya dibuat oleh pelaku yang sama. Aplikasi-aplikasi berbahaya tersebut didistribusikan melalui berbagai saluran, termasuk media sosial, situs web phishing, dan aplikasi belanja di Google Play.
Malware CherryBlos pertama kali disebarluaskan dalam bentuk file APK di Telegram, Twitter, dan YouTube sebagai alat AI atau cryptocurrency mining pada April 2023. Nama-nama yang digunakan untuk APK berbahaya tersebut adalah GPTalk, Happy Miner, Robot999, dan SynthNet, demikian menurut laporan tersebut.
Malware CherryBlos (AndroidOS_CherryBlos.GCL) yang terunduh, bisa mencuri kredensial yang terkait dengan dompet mata uang kripto, dan mengganti alamat korban saat mereka melakukan penarikan. Selain itu, malware ini juga dilengkapi fitur OCR yang bisa menghapus teks dari foto dan gambar.
"Setelah diunduh, CherryBlos akan melakukan dua tugas yaitu membaca gambar dari penyimpanan eksternal dan menggunakan OCR untuk mengekstrak teks dari gambar-gambar ini. Lalu mengunggah hasil OCR ke server C&C secara berkala," kata para peneliti seperti dilansir dari Siasat Daily, Senin (31/7/2023).
Selain itu, beberapa aplikasi yang menjanjikan bisa menghasilkan uang- yang pertama kali diunggah ke Google Play pada tahun 2021- juga terdeteksi melibatkan malware FakeTrade. Para peneliti menemukan tautan ke kampanye Google Play di mana 31 aplikasi penipuan yang dikenal sebagai "FakeTrade" menggunakan infrastruktur dan sertifikasi jaringan C2 yang sama dengan aplikasi CherryBlos.
Aplikasi-aplikasi ini memberikan iming-iming penggunanya bisa menghasilkan uang dalam waktu cepat. Namun pada kenyataannya mereka melakukan penipuan dengan membiarkan pengguna menonton iklan, berlangganan premium, atau terus mengisi saldodi aplikasi, tanpa pernah membiarkan pengguna untung.
Aplikasi-aplikasi tersebut memiliki antarmuka yang serupa dan sebagian besar menargetkan pengguna di Malaysia, Vietnam, Indonesia, Filipina, Uganda, dan Meksiko, dengan sebagian besar dari mereka muncul di Google Play antara tahun 2021 dan 2022.