Microsoft memperingatkan bahwa malware penipuan pulsa adalah salah satu ancaman paling umum di Android dan berkembang dengan fitur yang memungkinkan berlangganan otomatis ke layanan premium.
Penipuan pulsa adalah bagian dari penipuan penagihan, di mana pelaku ancaman menipu korban untuk menelepon atau mengirim SMS ke nomor premium.
Perbedaannya adalah penipuan pulsa tidak bekerja melalui WiFi dan memaksa perangkat untuk terhubung ke jaringan operator seluler.
Menonaktifkan koneksi WiFi
Malware dimulai dengan mengumpulkan data di negara pelanggan dan jaringan seluler, di mana Android tidak memerlukan izin dari pengguna.
Langkah kuncinya adalah menonaktifkan koneksi WiFi dan memaksa perangkat untuk menggunakan jaringan operator. Di Android 9 (API level 28) atau lebih rendah, ini dimungkinkan dengan tingkat izin perlindungan normal.
Untuk tingkat API yang lebih tinggi, ada fungsi ‘requestNetwork’ yang berada di bawah izin CHANGE_NETWORK_STATE, yang juga dilengkapi dengan tingkat perlindungan normal.
Malware penipuan pulsa kemudian menggunakan ‘NetworkCallbak’ untuk memantau status jaringan dan mendapatkan variabel ‘jenis jaringan’ untuk mengikat proses ke jaringan tertentu, sehingga memaksa perangkat untuk mengabaikan koneksi WiFi yang tersedia dan menggunakan operator seluler.
Satu-satunya cara bagi pengguna untuk menghindari ini adalah dengan menonaktifkan data seluler secara manual.
Jika operator seluler korban ada dalam daftar target, malware melanjutkan untuk mengambil daftar situs web yang menyediakan layanan premium dan mencoba berlangganan ke situs tersebut secara otomatis.
Meskipun ada beberapa skenario berlangganan, pengguna biasanya mengklik elemen HTML dan kemudian mengirim kode verifikasi ke server.
Beberapa operator menyelesaikan langganan hanya setelah memeriksa bahwa pengguna mengesahkannya melalui kode OTP yang dikirimkan melalui SMS, HTTP, atau USSD (Data Layanan Tambahan Tidak Terstruktur), dengan dua yang pertama lebih populer.
Pengembang malware memiliki subset dari tiga panggilan API yang dapat mereka gunakan untuk membungkam notifikasi SMS dari aplikasi lain:
- cancelAllNotifications() untuk memberi tahu manajer notifikasi agar mengabaikan semua notifikasi
- cancelNotification(String key) untuk memberi tahu manajer notifikasi agar mengabaikan satu notifikasi
- cancelNotifications(String [] keys) untuk memberi tahu manajer notifikasi agar mengabaikan beberapa notifikasi sekaligus
Pengembang malware penipuan tol juga menerapkan mekanisme untuk menjaga perilaku jahat sebijaksana mungkin. Salah satu caranya adalah dengan menjaga agar malware tetap inert jika jaringan seluler perangkat yang terinfeksi tidak ada dalam daftar.
Metode lain adalah dengan menggunakan pemuatan kode dinamis, yang memungkinkan kode tertentu untuk memuat hanya jika kondisi tertentu terpenuhi. Ini membuat pendeteksian malware menjadi lebih sulit, terutama pada analisis statis.
Menjauhkan malware penipuan pulsa dari perangkat Anda adalah dengan memeriksa apakah sumber untuk mengunduh sumber Android Anda dapat dipercaya, seperti Google Play Store.
Selain itu, melihat izin yang diminta saat penginstalan adalah cara yang baik untuk mengurangi risiko malware merajalela di perangkat Anda serta melindungi privasi Anda.
Microsoft juga menyarankan pengguna untuk tidak mengizinkan aplikasi membaca atau mengirim SMS, akses ke pemberitahuan, atau aksesibilitas kecuali izin ini diperlukan untuk fungsi normal.
Sumber: BleepingComputer
