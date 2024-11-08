Strain malware Android baru yang dikenal sebagai SpyAgent sedang berputar — dan mencuri tangkapan layar saat itu berjalan. Menggunakan teknologi pengenalan karakter optik (OCR), malware tersebut mengejar frasa pemulihan mata uang kripto yang sering disimpan dalam tangkapan layar pada perangkat pengguna.
Begini cara menghindari peluru.
Serangan dimulai — seperti biasa — dengan upaya phishing. Pengguna menerima pesan teks yang meminta mereka untuk mengunduh aplikasi yang tampaknya sah. Jika mereka menerima umpan dan menginstal aplikasi, malware SpyAgent akan mulai bekerja.
Targetnya? Tangkapan layar frase pemulihan 12-24 kata yang digunakan untuk dompet mata uang kripto. Karena frasa ini terlalu panjang untuk diingat dengan mudah, pengguna sering mengambil tangkapan layar untuk referensi di masa mendatang. Jika tangkapan layar ini disusupi atau bocor, penyerang dapat memindahkan pemulihan dompet kripto ke perangkat mereka sendiri dan mencuri seluruh isi aset digital yang ada. Dan begitu dana tersebut hilang, dana itu benar-benar hilang — sifat protokol mata uang kripto membuat transaksi yang telah selesai tidak dapat dibatalkan. Jika uang dikirim ke alamat yang salah, pengirim harus meminta penerima untuk membuat dan menyelesaikan transaksi pengembalian.
Jika pengguna tangkapan layar frasa pemulihan mereka dan dicuri oleh SpyAgent, penyerang hanya perlu memulihkan dompet dan mentransfer dana ke tujuan pilihan mereka.
Malware ini telah beredar di Korea Selatan, dengan lebih dari 280 APK yang terdampak, menurut Coin Telegraph. Aplikasi ini didistribusikan di luar toko Google Play resmi, sering menggunakan pesan SMS atau posting media sosial untuk menarik minat pengguna. Beberapa aplikasi yang terinfeksi meniru layanan pemerintah Korea Selatan atau Inggris, sementara yang lain tampaknya merupakan aplikasi kencan atau konten dewasa.
Ada sinyal bahwa para penyerang sedang merencanakan ekspansi ke Inggris, yang berpotensi memicu kebocoran yang lebih luas. Dan sementara malware saat ini hanya Android, ada tanda-tanda bahwa versi iOS mungkin sedang dalam pengembangan.
Meskipun frasa pemulihan mata uang kripto menjadi prioritas utama bagi SpyAgent, penggunaan teknologi OCR berarti bahwa gambar apa pun dapat menjadi sasaran. Misalnya, jika perangkat bisnis memiliki tangkapan layar nama pengguna dan kata sandi untuk basis data atau alat analitik, aset perusahaan dapat berisiko. Misalkan seorang manajer memiliki akses ke sejumlah layanan yang dilindungi, di mana setiap layanan mensyaratkan kata sandi yang berbeda guna menekan risiko kebocoran. Dalam upaya menjaga keamanan kata sandi namun tetap mudah diakses, manajer kami yang bermaksud baik membuat daftar dan mengambil tangkapan layar dari berbagai kombinasi kredensial mereka. Karena mereka percaya perangkat mereka aman, perusahaan menggunakan solusi seperti autentikasi multi-faktor (MFA) dan sistem masuk tunggal (SSO) yang aman, dan mereka tidak melihat tangkapan layar mereka sebagai risiko.
Namun, jika peretas meyakinkan mereka untuk mengklik dan mengunduh aplikasi yang terinfeksi, penyerang dapat melihat dan mencuri data gambar yang disimpan dan kemudian menggunakan data ini untuk “secara sah” mendapatkan akses akun.
Risiko potensial lainnya berasal dari data pribadi. Pengguna mungkin memiliki tangkapan layar kesehatan pribadi atau data keuangan, yang menempatkan mereka pada risiko eksfiltrasi data dan penipuan identitas. Mereka mungkin juga memiliki detail kontak rahasia untuk mitra bisnis atau eksekutif, membuka pintu untuk putaran serangan phishing lainnya.
Pendekatan peretasan berbasis gambar ini menimbulkan dua masalah bagi tim keamanan. Pertama adalah waktu yang dibutuhkan untuk deteksi. Bisnis membutuhkan rata-rata 258 hari untuk deteksi dan menahan insiden, seperti dicatat oleh Laporan Biaya Pelanggaran Data 2024 IBM®. Tetapi angka ini hanya berlaku jika keamanan berfungsi dengan baik. Jika perangkat mobile berhasil disusupi akibat tindakan pengguna, dan tujuan utama malware tersebut hanya untuk mencari serta mencuri tangkapan layar, masalah ini bisa tidak terdeteksi dalam waktu yang jauh lebih lama, terutama jika penyerang menunggu saat yang tepat.
Begitu penjahat pindah untuk menyerang, sementara itu, kerusakannya mungkin signifikan. Dengan menggunakan kredensial yang dicuri, penyerang dapat memperoleh akses ke layanan penting dan mengunci pemilik akun. Dari sana, mereka dapat menangkap dan mengeksfiltrasi data di sejumlah sistem dan layanan TI. Meskipun tindakan langsung ini akan memberi peringatan kepada tim TI, respons keamanan pada dasarnya bersifat reaktif, sehingga perusahaan tidak dapat menghindari serangan tersebut dan hanya dapat memitigasi dampaknya.
Pesan di sini sederhana: Jika ada di ponsel Anda, itu tidak pernah sepenuhnya aman. Tangkapan layar kata sandi pemulihan kripto, login dan kata sandi perusahaan atau data pribadi seperti nomor Jaminan Soal atau detail rekening bank adalah target berharga bagi penyerang.
Menghindari peluru juga berarti tidak mengambil umpan — jangan menanggapi teks yang tidak diminta dan hanya mengunduh aplikasi melalui toko aplikasi yang disetujui. Ini juga berarti mengambil tindakan pencegahan. Sifat perangkat yang selalu terhubung berarti bahwa keamanan penuh bersifat ilusi. Semakin sedikit yang disimpan di perangkat, semakin baik.
Pengguna dapat menjaga perangkat tetap aman dengan tetap berpegang pada toko Google Play resmi. Aplikasi yang diunduh di luar Play Store tidak memiliki jaminan tentang keselamatan atau keamanannya. Sebagian di antaranya adalah aplikasi yang tidak berbahaya tetapi belum lolos proses penyaringan Google. Lainnya hampir duplikat dari aplikasi resmi yang berisi file atau perintah tersembunyi. Dan beberapa hanyalah kendaraan untuk menginstal malware dan terhubung dengan server perintah dan kontrol (C2).
Selain itu, perusahaan dapat mengambil manfaat dari penerapan otomatisasi keamanan dan alat keamanan AI. Solusi ini mampu menangkap dan menghubungkan pola perilaku yang mungkin tampak jinak tetapi merupakan indikator kompromi kolektif (IOC). Seperti dicatat oleh data IBM®, bisnis yang secara ekstensif menggunakan AI dan otomatisasi mampu mendeteksi dan mengandung pelanggaran 98 hari lebih cepat daripada rata-rata global.
Malware SpyAgent sekarang berkeliaran di Korea Selatan, mencuri tangkapan layar untuk menangkap kata sandi pemulihan kripto, dan menempatkan perusahaan pada risiko kebocoran data berskala besar bagi perusahaan.
Pertahanan terbaik? Pendekatan tiga serangkai yang mencakup pengurangan penyimpanan tangkapan layar, sikap curiga terhadap aplikasi di luar merek atau sumber tepercaya, serta penerapan solusi intelijen yang lebih canggih.