Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.
Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.
RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.
Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.
Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.
GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.
Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.
Selengkapnya: K7 Security Labs
