Peneliti keamanan memperingatkan malware Android bernama SMSFactory yang menambahkan biaya yang tidak diinginkan ke tagihan telepon dengan membuat korban berlangganan layanan premium.
SMSFactory memiliki beberapa saluran distribusi yang mencakup malvertising, pemberitahuan push, pop-up promosi di situs, video yang menjanjikan peretasan game, atau akses konten dewasa.
Menurut Avast, SMSFactory menargetkan lebih dari 165.000 pelanggan Android antara Mei 2021 hingga Mei 2022, sebagian besar berlokasi di Rusia, Brasil, Argentina, Turki, dan Ukraina.
Sementara tujuan utama SMSFactory adalah mengirim teks premium dan melakukan panggilan ke nomor telepon premium, peneliti Avast melihat varian malware yang juga dapat mencuri daftar kontak pada perangkat yang disusupi, kemungkinan akan digunakan sebagai metode distribusi lain untuk ancaman tersebut.
Jakub Vávra dari Avast mencatat bahwa SMSFactory di-host di toko aplikasi tidak resmi. Peneliti ESET menemukan paket APK berbahaya di APKMods dan PaidAPKFree, dua repositori aplikasi Android yang tidak memiliki pemeriksaan dan kebijakan keamanan yang tepat untuk produk yang terdaftar.
APK SMSFactory mungkin memiliki nama yang berbeda dan ketika mencoba menginstalnya di perangkat, sebuah peringatan muncul dari Play Protect – sistem keamanan bawaan Android, yang memperingatkan pengguna tentang potensi risiko keamanan dari file tersebut.
Izin yang diminta saat penginstalan termasuk mengakses data lokasi, SMS, kemampuan untuk melakukan panggilan telepon dan mengirim SMS, mengunci dan bergetar saat bangun, mengelola overlay, menggunakan seluruh layar, memantau notifikasi, dan memulai aktivitas dari latar belakang.
Ini semua adalah izin yang menunjukkan aktivitas jahat, tetapi pengguna ceroboh yang berharap dapat mengakses konten yang dijanjikan cenderung mengizinkannya tanpa meninjau.
Setelah diinstal, aplikasi menunjukkan kepada korban layar konten palsu ke layanan yang tidak berfungsi atau sebagian besar tidak tersedia.
Aplikasi itu sendiri tidak memiliki nama atau ikon yang ditetapkan dan dapat menghapus yang terakhir dari layar untuk mempersulit penghapusannya setelah keluar. Akibatnya, sebagian besar korban berasumsi bahwa ada yang salah dengan penginstalan dan tidak memberi tahu lagi tentang aplikasi tersebut.
Namun, SMSFactory terus beroperasi di latar belakang, membuat koneksi ke server perintah dan kontrol (C2) dan mengirim profil ID perangkat yang terinfeksi.
Jika operator kampanye menganggap perangkat dapat digunakan, mereka mengirim kembali instruksi dan berlangganan korban ke layanan premium.
Salah satu varian terbaru dari malware SMSFactory juga dapat menambahkan akun admin di perangkat, kemungkinan diperlukan untuk distribusi SMS menggunakan daftar kontak.
Untuk menghindari tagihan yang lebih besar, pengguna disarankan untuk mengunduh aplikasi hanya dari sumber tepercaya, seperti Google Play. Mereka harus menjaga minimal jumlah aplikasi yang mereka gunakan dan membaca ulasan dari pengguna lain sebelum menginstal apa pun.
Selain itu, perbarui sistem operasi Anda ke versi terbaru yang tersedia untuk perangkat Anda dan jalankan pemindaian rutin melalui Play Protect.
Sumber: Bleeping Computer
