Satu aplikasi palsu Android menyamar sebagai perkhidmatan pembersihan rumah untuk mencuri butiran log masuk perbankan dalam talian dari lapan bank dalam Malaysia.
Aplikasi ini dipromosikan dalam pelbagai laman web palsu atau klon dan laman media sosial untuk menggalakkan pengguna memuat turun fail APK hasad – ‘Cleaning Service Malaysia’.
Aplikasi ini pada awalnya dikesan oleh MalwareHunterTeam minggu lepas dan kemudiannya dianalisis oleh penyelidik di Cyble, yang memberikan maklumat terperinci tentang bagaimana ia beroperasi.
Selepas memasang aplikasinya, pengguna akan diminta untuk memberikan 24 jenis kebenaran (permissions), yang akan disalahguna untuk memantau teks SMS bagi mencuri kata laluan ‘one-time password’ dan kod MFA yang digunakan dalam perkhidmatan e-perbankan.
Kod tersebut seterusnya dihantar terus ke pelayan penggodam.
Apabila aplikasi dilancarkan, ia akan memapar borang yang meminta pengguna untuk menempah temu janji pembersihan rumah. Setelah pengguna memasukkan butiran iaitu nama, alamat dan nombor telefon pada aplikasi, mereka digesa untuk memilih kaedah pembayaran.
Di sini, pengguna ditawarkan pelbagai pilihan bank Malaysia dan pilihan perbankan internet, dan apabila mangsa mengklik salah satu pilihan, mereka akan dibawa ke halaman log masuk palsu (phishing site).
Malangnya, pengguna tidak mempunyai cara untuk menyedarinya dari dalam antara muka aplikasi palsu tersebut. Sebarang butiran log masuk perbankan yang dimasukkan dalam langkah ini akan dihantar terus ke penggodam. Maklumat ini boleh digunakan bersama kod SMS yang telah dipintas aplikasi untuk mengakses ke akaun e-perbankan mangsa.
Seperti biasa, kami sentiasa menyarankan agar pengguna untuk memuat turun aplikasi hanya melalui gedung rasmi, Google Play Store.
Tidak lupa juga usah sewenang-wenangnya memberikan kebenaran istimewa pada aplikasi, terutamanya yang tidak berkaitan dengan fungsinya. Tidak ada sebab mengapa aplikasi pembersihan rumah mahukan akses kepada teks dalam peranti anda.
Kemudian, jangan biarkan peranti anda ‘bersawang’. Pastikan ia sentiasa menggunakan kemas kini keselamatan terbaru, dan versi sistem operasi terkini yang ditawarkan oleh pembangun.
Sumber: Malicious Android app steals Malaysian bank credentials, MFA codes
