Siapa sangka, aplikasi yang kelihatannya simpel dan fungsional seperti document reader justru bisa menyimpan ancaman berbahaya? Belakangan ini, tim keamanan siber dari Zscaler ThreatLabz menemukan sebuah aplikasi Android di Google Play Store yang ternyata menyebarkan malware perbankan Anatsa. Padahal, aplikasi tersebut sudah diunduh lebih dari 50.000 kali dan masih sempat tampil seperti aplikasi normal sebelum akhirnya aksinya terbongkar.
Baca Juga : Urutan Versi Android dari Awal Sampai Sekarang! Cek Disini
Aplikasi ini bernama “Document Reader – File Manager” dan diterbitkan oleh pengembang bernama ISTOQMAH. Dengan memanfaatkan tampilan dan fitur yang terlihat wajar, aplikasi ini berhasil mengelabui pengguna agar memberikan izin akses yang akhirnya dimanfaatkan untuk mencuri data finansial. Temuan ini kembali menegaskan betapa sulitnya menjaga keamanan di toko aplikasi resmi, bahkan dengan sistem keamanan ketat seperti Google Play.
Apa Itu Anatsa dan Kenapa Berbahaya?
Jika kamu belum familiar, Anatsa (juga dikenal sebagai TeaBot) pertama kali muncul pada 2020 sebagai salah satu malware perbankan paling agresif di Android. Fungsinya tidak main-main: mencuri kredensial login bank, melakukan keylogging, hingga menjalankan transaksi palsu secara otomatis tanpa sepengetahuan pemilik perangkat.
Dalam beberapa tahun terakhir, varian Anatsa berkembang pesat dan kini sudah menargetkan lebih dari 831 institusi keuangan di seluruh dunia. Menariknya lagi, gelombang terbaru malware ini mulai menyasar wilayah baru seperti Jerman dan Korea Selatan, serta memperluas targetnya ke platform cryptocurrency.
Untuk menyamarkan aktivitasnya, Anatsa memakai berbagai teknik penghindaran, seperti mendekripsi string menggunakan DES saat berjalan, mengecek model perangkat untuk menghindari emulator, hingga menyisipkan payload berbahaya di dalam arsip ZIP yang sengaja dibuat rusak agar lolos dari analisis statis.
Menyamar sebagai Aplikasi Pembaca Dokumen
Dalam kasus terbaru ini, dropper Anatsa bersembunyi di balik aplikasi yang tampak wajar. Secara tampilan, aplikasi “Document Reader – File Manager” benar-benar terlihat seperti alat pembuka PDF, pemindai dokumen, hingga pengelola file. Pengguna yang tidak curiga pasti menganggap ini aplikasi multifungsi yang berguna.
Namun begitu terpasang, aplikasi ini segera mengunduh payload Anatsa yang disamarkan sebagai pembaruan aplikasi. Proses ini dilakukan lewat server command-and-control (C2) sehingga bisa menembus perlindungan Google Play. Jika proses unduh payload gagal, aplikasi tetap menampilkan antarmuka file manager palsu agar terlihat normal di mata pengguna.
Setelah payload aktif, Anatsa akan meminta aksesibilitas perangkat. Dengan izin ini, Anatsa otomatis bisa menyetujui hak akses berbahaya seperti:
-
SYSTEM_ALERT_WINDOW (membuat overlay menutupi layar)
-
READ_SMS
-
Hak untuk menjalankan tampilan layar penuh yang meniru aplikasi perbankan
Semua ini memungkinkan Anatsa menampilkan halaman phishing yang dibuat menyerupai aplikasi finansial yang terdeteksi di perangkat. Di sinilah kredensial bank pengguna bisa dicuri.
Indikator Serangan dan Dampak yang Lebih Luas
ThreatLabz juga memberikan indikator teknis (IOC) terkait kampanye Anatsa ini untuk membantu para analis keamanan melakukan deteksi lebih cepat. Menariknya, halaman Google Play aplikasi tersebut dipenuhi deskripsi yang terlihat profesional, bahkan mengklaim sebagai “all-in-one solution” untuk mengelola dokumen.
Kasus ini bukan yang pertama. ThreatLabz sebelumnya melaporkan bahwa ada 77 aplikasi berbahaya lain yang sempat lolos ke Google Play, dengan total 19 juta unduhan sebelum akhirnya dihapus. Polanya hampir sama: memanfaatkan aplikasi produktivitas seperti file manager atau pembaca dokumen yang biasanya dianggap aman oleh pengguna.
Risikonya tentu besar. Kredensial perbankan pengguna bisa dicuri, bahkan memungkinkan pelaku menjalankan transaksi otomatis. Pengguna di Amerika Utara sebelumnya menjadi target utama, ditambah fakta bahwa varian lama Anatsa sempat muncul di bagian “Free Tools” Google Play membuat semakin banyak orang terjebak.
Google memang terus meningkatkan perlindungan di Play Protect, tetapi laporan cepat dari peneliti keamanan tetap jadi faktor penting untuk menghentikan penyebaran aplikasi jahat seperti ini.
Cara Pengguna Melindungi Diri
Kalau kamu pengguna Android, ada beberapa langkah sederhana namun penting untuk menghindari ancaman seperti ini:
-
Cek izin aplikasi sebelum memasang. Jika aplikasi dokumen meminta akses SMS, itu tanda bahaya.
-
Hindari pembaruan aplikasi di luar Play Store meskipun terlihat sebagai peringatan atau notifikasi.
-
Gunakan antivirus atau pemindai malware jika memungkinkan.
-
Selalu pantau aktivitas mencurigakan pada aplikasi perbankan atau transaksi digital.
Untuk tim keamanan, IOC dari Zscaler dapat membantu pemantauan jaringan dan analisis forensik pada perangkat yang diduga terinfeksi.
Baca Juga : Cara Install Google Play Games di PC/Laptop Versi Stabil
Campaign Indicators
Berikut indikator serangan terkait kampanye Anatsa ini:
| Indicator | Value |
|---|---|
| Package Name | com.quantumrealm.nexdev.quarkfilerealm_filedoctool G7qS0W6bMAEE2v4.jpg |
| Installer MD5 | 98af36a2ef0b8f87076d1ff2f7dc9585 |
| Payload MD5 | da5e24b1a97faeacf7fb97dbb3a585af |
| Download URL | https://quantumfilebreak[.]com/txt.txt |
| C2 Servers | http://185.215.113[.]108:85/api/
http://193.24.123[.]18:85/api/ http://162.252.173[.]37:85/api/ |
