Aplikasi Hasad Android Mencuri Butiran Log Masuk Bank Malaysia

Satu aplikasi palsu Android menyamar sebagai perkhidmatan pembersihan rumah untuk mencuri butiran log masuk perbankan dalam talian dari lapan bank dalam Malaysia.

Aplikasi ini dipromosikan dalam pelbagai laman web palsu atau klon dan laman media sosial untuk menggalakkan pengguna memuat turun fail APK hasad – ‘Cleaning Service Malaysia’.

Aplikasi ini pada awalnya dikesan oleh MalwareHunterTeam minggu lepas dan kemudiannya dianalisis oleh penyelidik di Cyble, yang memberikan maklumat terperinci tentang bagaimana ia beroperasi.

Selepas memasang aplikasinya, pengguna akan diminta untuk memberikan 24 jenis kebenaran (permissions), yang akan disalahguna untuk memantau teks SMS bagi mencuri kata laluan ‘one-time password’ dan kod MFA yang digunakan dalam perkhidmatan e-perbankan.

Iklan Google

Kod tersebut seterusnya dihantar terus ke pelayan penggodam.

Iklan Google

Apabila aplikasi dilancarkan, ia akan memapar borang yang meminta pengguna untuk menempah temu janji pembersihan rumah. Setelah pengguna memasukkan butiran iaitu nama, alamat dan nombor telefon pada aplikasi, mereka digesa untuk memilih kaedah pembayaran.

Di sini, pengguna ditawarkan pelbagai pilihan bank Malaysia dan pilihan perbankan internet, dan apabila mangsa mengklik salah satu pilihan, mereka akan dibawa ke halaman log masuk palsu (phishing site).

Malangnya, pengguna tidak mempunyai cara untuk menyedarinya dari dalam antara muka aplikasi palsu tersebut. Sebarang butiran log masuk perbankan yang dimasukkan dalam langkah ini akan dihantar terus ke penggodam. Maklumat ini boleh digunakan bersama kod SMS yang telah dipintas aplikasi untuk mengakses ke akaun e-perbankan mangsa.

Seperti biasa, kami sentiasa menyarankan agar pengguna untuk memuat turun aplikasi hanya melalui gedung rasmi, Google Play Store.

Tidak lupa juga usah sewenang-wenangnya memberikan kebenaran istimewa pada aplikasi, terutamanya yang tidak berkaitan dengan fungsinya. Tidak ada sebab mengapa aplikasi pembersihan rumah mahukan akses kepada teks dalam peranti anda.

Kemudian, jangan biarkan peranti anda ‘bersawang’. Pastikan ia sentiasa menggunakan kemas kini keselamatan terbaru, dan versi sistem operasi terkini yang ditawarkan oleh pembangun.

Sumber: Malicious Android app steals Malaysian bank credentials, MFA codes

Iklan Google
Iklan Google
Arya Putra
Arya Putrahttps://omghackers.com/
A regular tech blogger who have passions for cats. I will not put my trust on anybody who hated them, doesn't matter if they are my friends or family. I have a dream where I am the owner of a Cat Cafe. Help me achieve it by hiring me as your reviewer. For any review inquiries, you can contact me at arya@omghackers.com

Artikel Terkini

spot_imgspot_img

Artikel Berkaitan

MENINGGALKAN SUATU JAWAPAN

Sila masukkan komen anda!
Sila masukkan nama anda di sini

spot_imgspot_img