Malware Ini Disebut Kebal dengan Factory Reset

BALIKPAPAN—Serangan malware xhelper disebut telah menginfeksi 45.000 perangkat Android di dunia dan disebut “kebal” terhadap upaya melakukan pengembalian ke mode pabrik atau factory reset.

Sebagaimana dilansir dari laman resmi Symantec, malware ini masuk ketika pengguna memasang satu aplikasi. xHelper biasanya bersembunyi di dalam kode aplikasi di situs-situs non-Google yang memuat aplikasi Android dan memberikan instruksi tentang cara memasang aplikasi dari sumber selain Google Play Store.

Malware yang pertama kali terdeteksi pada Maret 2019 ini cukup agresif karena diperkirakan dapat menyerang 131 handset per hari. xHelper menampilkan pop-up berisi iklan di perangkat korban untuk mendatangkan uang bagi pembuatnya.  Malware ini juga menggiring ponsel korban ke Google Play Store, lalu coba membujuk agar memasang layanan website premium. Tujuannya tak lain menambah isi pundi-pundi sang aktor jahat pembuatxHelper lewat komisi.

Dalam blog resmi Symantec disebutkan bahwa xHelper tidak menyediakan antarmuka pengguna reguler. Malware ini merupakan sebuah komponen aplikasi, artinya ia tidak muncul dalam daftar di launcher aplikasi perangkat.

Itulah yang membuat malware ini mudah menjalankan aktivitas-aktivitas jahatnya secara tersembunyi. Sejauh ini malware terutama menginfeksi pengguna perangkat Android di India, AS, dan Rusia.

Setelah memperoleh pijakan pada perangkat korban, xHelper mulai mengeksekusi fungsionalitas intinya yang berbahaya dengan mendekripsi muatan memori berbahaya yang tertanam dalam paketnya.

Muatan berbahaya kemudian menghubungkan ke server perintah dan kontrol penyerang dan menunggu perintah. Untuk mencegah komunikasi ini dicegat, sertifikat SSL digunakan untuk semua komunikasi antara perangkat korban dan server.

Setelah koneksi berhasil ke server, muatan tambahan seperti dropper, clickers, dan rootkit, dapat diunduh ke perangkat yang dikompromikan.

“Kami percaya kumpulan malware yang disimpan di server memiliki fungsi yang luas dan beragam, memberikan penyerang beberapa opsi, termasuk pencurian data atau bahkan pengambilalihan lengkap perangkat,” kata Symantec.

Symantec tidak menemukan sampel untuk dianalisis di Google Play Store mengenai sumber infeksi XHelper. Ada kemungkinan bahwa malware XHelper terunduh oleh pengguna dari sumber yang tidak dikenal, meskipun itu bukan satu-satunya saluran distribusi.

Aplikasi berbahaya itu ternyata lebih sering diinstal pada merek ponsel tertentu, sehingga diyakini bahwa penyerang mungkin berfokus pada merek tertentu.

Untuk menghindar dari terinfeksi malware ini, Symantec memberikan tips sebagai berikut:

* Selalu perbarui perangkat lunak perangkat

* Jangan mengunduh aplikasi dari situs yang tidak dikenal

* Perhatikan dengan seksama permintaan izin yang diminta aplikasi

* Install aplikasi keamanan seluler yang sesuai untuk melindungi perangkat

* Sering-seringlah membuat cadangan data penting.