Waspada! Malware GodFather Menyerang Aplikasi Keuangan dan Crypto

author:

Waspada! Malware GodFather Menyerang Aplikasi Keuangan dan Crypto

Dilansir Cointelegraph (9/1/23), otoritas keuangan Jerman berikan peringatan perihal adanya penyebaran virus baru yang menyerang aplikasi perbankan dan juga mata uang crypto.

GodFather Targetkan Aplikasi Keuangan dan Crypto

Germany’s Federal Financial Supervisory Authority (BaFin) selaku otoritas keuangan di Jerman merilis pernyataan resmi pada 9 Januari 2023, yang memperingatkan para konsumen tentang “Godfather”, sebuah malware atau adanya perangkat lunak berbahaya yang dibuat untuk mengacaukan serta melakukan tindakan yang tidak diinginkan seperti merampok aset keuangan pengguna, dengan cara mengumpulkan data pengguna di perbankan dan aplikasi crypto. BaFin menekankan bahwa virus baru ini menargetkan sekitar 400 aplikasi perbankan dan crypto, termasuk yang beroperasi di Jerman. Malware Godfather biasanya menyerang pengguna dengan menampilkan situs web replika dari aplikasi resmi perbankan dan crypto yang biasa pengguna pakai untuk mencuri data log-in.

Menurut regulator Jerman, saat ini belum bisa dipastikan bagaimana virus GodFather menyerang perangkat pengguna. Meski begitu, malware GodFather diketahui mengirim push notification untuk mendapatkan kode otentikasi tambahan. “Dengan data ini, penjahat dunia maya dapat memperoleh akses ke akun dan dompet konsumen,” kata BaFin.

Malware GodFather Muncul Sejak Desember 2021

Peringatan pertama terkait Godfather muncul pada bulan Desember 2022, dengan laporan yang menunjukkan malware tersebut memengaruhi perangkat Android dan menargetkan pengguna di 16 negara. Pakar keamanan cyber dari Group-IB awalnya melaporkan keberadaan trojan Godfather pada tahun 2021, dengan seiringnya waktu berjalan, malware tersebut telah mengalami peningkatan kode secara besar-besaran dan berhasil meretas pengguna dalam skala besar selama beberapa bulan terakhir.

Lebih lanjut, menurut pakar keamanan cyber Group-IB, hampir 50% dari semua aplikasi yang ditargetkan oleh Godfather adalah aplikasi perbankan, dan sebagian besar berasal dari Amerika Serikat dengan 49 kasus. Disusul oleh Turki (31 kasus), Spanyol (30 kasus), dan Kanada(22), Perancis (20), Jerman (19 kasus) dan Inggris (17 kasus). Virus ini juga diketahui menargetkan 110 platform pertukaran mata uang crypto dan 94 aplikasi dompet mata uang crypto.

keamanan cryber group BI terkait GodFather
Sumber: Twitter

Melalui sebuah utas yang dibagikan akun Twitter GroupIB_GIB, sejak 2021 hingga kini, GodFather telah menargetkan 419 perusahaan.

Dilaporkan oleh Cointelegraph, cryptojacking telah muncul sebagai salah satu jenis serangan terbesar pada aplikasi crypto dalam beberapa tahun terakhir. Menurut perkiraan dari lab keamanan cyber Kaspersky, tahun 2023 akan ada lebih banyak lagi serangan malware.

Bagaimana Cara Kerja GodFather?

Dilansir dari TechWireAsia, salah satu fitur yang membedakan GodFather adalah kemampuan untuk mendistribusikan menggunakan arsitektur Malware-as-a-Service (MaaS). Selain itu, analis Grup-IB menemukan bahwa alamat perintah dan kontrol Godfather (C&C) didistribusikan melalui deskripsi saluran Telegram, seperti halnya Anubis.

Jika Godfather diunduh ke perangkat, malware ini akan mencoba untuk berpura-pura menjadi Google Protect. Program malware dapat terpasang saat pengguna menginstal aplikasi dari Play Store. Dilaporkan bahwa malware GodFather dapat meniru aplikasi resmi Google dan memberi tahu pengguna bahwa ia sedang “memindai” komputer. Namun, malware ini tidak bekerja dengan cara klasik seerti ini, melainkan dengan membuat notifikasi “Google Protect” yang disematkan di bagian atas layar dan menghapus ikonnya dari daftar aplikasi yang diinstal. Sementara itu, dilaporkan oleh BeinCrypto, lembaga riset dan intelihen Cyble mengungkapkan bahwa tindak kejahatan dunia maya tersebut sempat berkamuflase sebagai aplikasi MYT Muzik dalam bahasa Turki.

Bersamaan dengan push notification yang ada, pengguna melanjutkan aktivitas biasa mereka tanpa menyadari bahwa malware telah terpasang di perangkat mereka. Di saat itulah Godfather menjalankan aksinya, di mana Godfather menggunakan salah satu fitur utamanya, yaitu pemalsuan web. Pemalsuan web ini meniru halaman masuk program atau aplikasi yang resmi, sehingga pengguna terkecoh dan memberikan semua informasi di sana, termasuk nama pengguna dan kata sandi, yang nantinya dikirimkan ke server C&C GodFather.

Mengenai hal ini, Google membuat pembaruan yang mengatakan bahwa setiap pengguna dilindungi oleh Google Play Protect, yang mana dapat memblokir aplikasi berbahaya di perangkat Andorid. Google menambahkan, “Semua aplikasi jahat yang teridentifikasi dalam laporan tidak ada lagi di Google Play,” menurut laporan BeinCrypto (10/1/23).


Referensi: