Peneliti Temukan 280 Aplikasi Android Gunakan OCR untuk Mencuri Kredensial Mata Uang Kripto

SangRyol Ryu, seorang peneliti di firma keamanan McAfee, menemukan hal tersebut setelah memperoleh akses tidak sah ke server yang menerima data yang dicuri oleh aplikasi jahat tersebut. Akses tersebut merupakan hasil dari konfigurasi keamanan yang lemah yang dibuat saat server tersebut digunakan. Dengan demikian, Ryu dapat membaca halaman yang tersedia untuk administrator server.

Satu halaman, yang ditampilkan dalam gambar di bawah, sangat menarik. Halaman tersebut menunjukkan daftar kata di dekat bagian atas dan gambar terkait, yang diambil dari ponsel yang terinfeksi, di bagian bawah. Kata-kata yang ditampilkan secara visual dalam gambar tersebut terlihat sesuai.

Halaman admin yang menampilkan rincian OCR. (McAfee/Ars Technica)

“Setelah memeriksa halaman tersebut, menjadi jelas bahwa tujuan utama para penyerang adalah untuk memperoleh frasa pemulihan mnemonik untuk dompet mata uang kripto,” tulis Ryu, sebagaimana dikutip Ars Technica, 7 September 2024. “Hal ini menunjukkan penekanan utama untuk mendapatkan akses dan kemungkinan menguras aset kripto korban.”

OCR adalah proses mengubah gambar teks yang diketik, ditulis tangan, atau dicetak menjadi teks yang dikodekan oleh mesin. OCR telah ada selama bertahun-tahun dan semakin umum digunakan untuk mengubah karakter yang ditangkap dalam gambar menjadi karakter yang dapat dibaca dan dimanipulasi oleh perangkat lunak.

Ryu melanjutkan, “Ancaman ini menggunakan Python dan Javascript di sisi server untuk memproses data yang dicuri. Secara khusus, gambar diubah menjadi teks menggunakan teknik pengenalan karakter optik (OCR), yang kemudian diatur dan dikelola melalui panel administratif. Proses ini menunjukkan tingkat kecanggihan yang tinggi dalam menangani dan memanfaatkan informasi yang dicuri.”

Orang-orang yang khawatir telah memasang salah satu aplikasi berbahaya harus memeriksa posting McAfee untuk mendapatkan daftar situs web terkait dan hash kriptografi.

Malware tersebut telah menerima beberapa pembaruan dari waktu ke waktu. Sementara sebelumnya menggunakan HTTP untuk berkomunikasi dengan server kontrol, sekarang terhubung melalui WebSockets, mekanisme yang lebih sulit diurai oleh perangkat lunak keamanan. WebSockets memiliki manfaat tambahan karena menjadi saluran yang lebih serbaguna.

Pengembang juga telah memperbarui aplikasi untuk mengaburkan fungsi berbahayanya dengan lebih baik. Metode pengaburan meliputi pengodean string di dalam kode sehingga tidak mudah dibaca oleh manusia, penambahan kode yang tidak relevan, dan penggantian nama fungsi dan variabel, yang semuanya membingungkan analis dan mempersulit pendeteksian. Meskipun malware tersebut sebagian besar terbatas di Korea Selatan, malware tersebut baru-baru ini mulai menyebar di Inggris.

"Perkembangan ini signifikan karena menunjukkan bahwa pelaku ancaman memperluas fokus mereka baik secara demografis maupun geografis," tulis Ryu. "Perpindahan ke Inggris menunjukkan upaya yang disengaja oleh para penyerang untuk memperluas operasi mereka, kemungkinan besar menyasar kelompok pengguna baru dengan versi malware yang dilokalkan."

Pilihan Editor: MAN IC Tanah Laut dan Universitas Binus Juara Samsung Innovation Campus Batch 5