Menurut laporan tersebut, lebih dari 11 juta pengguna telah menjadi korban dari trojan ini. Patut untuk diketahui, Necro dapat mengunduh dan menjalankan komponen berbahaya lainnya di perangkat yang terinfeksi berdasarkan perintah dari pembuatnya.

Kemampuan Trojan Necro

Varian baru dari Trojan Necro ini memiliki berbagai kemampuan yang membahayakan. Trojan ini mampu mengunduh modul ke ponsel pintar yang terinfeksi untuk menampilkan iklan di jendela yang tak terlihat, dan mengklik iklan tersebut.

Parahnya lagi, Necro akan mengunduh file siap untuk dieksekusi, serta menginstal aplikasi pihak ketiga. Pada akhirnya, trojan ini akan membuka tautan acak di jendela WebView yang tak terlihat untuk mengeksekusi kode JavaScript. 

Selain itu, Necro juga berpotensi membuat pengguna layanan berbayar tanpa sepengetahuannya dan memungkinkan penyerang mengalihkan lalu lintas internet melalui perangkat korban, yang bisa digunakan untuk mengakses sumber daya terlarang atau dijadikan botnet proksi.

Temuan awal Kaspersky menunjukkan bahwa Necro pertama kali ditemukan dalam versi modifikasi aplikasi Spotify Plus. Aplikasi modifikasi ini menjanjikan fitur tambahan yang tidak tersedia dalam versi resmi Spotify, namun ternyata menyembunyikan trojan di dalamnya. 

Selain Spotify Plus, aplikasi lain yang terinfeksi termasuk versi modifikasi dari WhatsApp, dan beberapa permainan populer seperti Minecraft, Stumble Guys, dan Car Parking Multiplayer. Trojan ini disisipkan melalui modul iklan yang tidak terverifikasi.

Trojan Necro tidak hanya menyebar melalui platform pihak ketiga, tetapi juga ditemukan di Google Play. Aplikasi Wuta Camera dan Max Browser diidentifikasi telah mengandung pengunduh berbahaya tersebut.

Setelah Kaspersky melaporkan temuannya ke Google, kode berbahaya memang telah dihapus dari kedua aplikasi tersebut. Meski begitu, pengguna tetap perlu waspada terhadap aplikasi di platform tidak resmi yang banyak tersebar di internet.

Dampak dan Langkah Pencegahan

Dmitry Kalinin, pakar keamanan siber di Kaspersky, menyatakan bahwa pengguna sering mengunduh aplikasi modifikasi untuk mendapatkan fitur tambahan secara gratis, namun perilaku ini dimanfaatkan oleh penjahat siber untuk menyebarkan malware atau trojan.

Kamu juga haru tahu, varian Necro menggunakan teknik steganografi untuk menyembunyikan muatannya dalam gambar, sehingga sulit terdeteksi. Untuk melindungi diri dari ancaman seperti Necro, Kaspersky menyarankan pengguna hanya untuk mengunduh aplikasi dari sumber resmi.

Tak kalah penting, secara rutin pengguna smartphone juga harus memperbarui sistem operasi dan aplikasi yang terinstal, serta menggunakan solusi keamanan yang andal dari produsen yang tepercaya, seperti Kaspersky salah satunya.

Kaspersky sendiri telah mengidentifikasi dan melindungi pengguna dari ancaman Nacro dengan mendeteksi pengunduhnya sebagai Trojan-Downloader.AndroidOS.Necro.f dan Trojan-Downloader.AndroidOS.Necro.h, serta komponen lainnya sebagai Trojan.AndroidOS.Necro.

Ancaman seperti Trojan Necro menunjukkan betapa pentingnya kewaspadaan dalam mengunduh aplikasi dan menjaga keamanan perangkat. Dengan langkah pencegahan yang tepat, pengguna dapat melindungi diri dari serangan siber yang semakin canggih.

Trojan ini memiliki kemampuan untuk mengelola sistem berkas, mengontrol webcam, mencuri kata sandi, dan mengelola desktop secara jarak jauh. Menariknya, SambaSpy terlihat begitu menonjol karena penargetannya yang tepat.

Malware ini direkayasa untuk menginfeksi hanya pengguna yang sistemnya disetel ke bahasa Italia, memastikan keberhasilan maksimum di wilayah tersebut. Berdasarkan telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan masih berlanjut hingga kini.

“Kami terkejut dengan penargetan sempit dari serangan ini. Biasanya, penjahat siber bertujuan menginfeksi sebanyak mungkin pengguna. Tetapi, rantai infeksi SambaSpy hanya menyasar pengguna di Italia,” ujar Giampaolo Dedola, peneliti keamanan siber senior di GReAT Kaspersky.

Metode Infeksi yang Rumit

Kaspersky mengidentifikasi dua rantai infeksi yang berbeda dalam penyebaran malware ini. Salah satu metode infeksi yang sangat rumit dimulai dengan e-mail phishing yang tampaknya berasal dari salah satu perusahaan real estat di Italia.

E-mail tersebut meminta pengguna untuk melihat faktur dengan mengklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud di Italia yang resmi, dan memang digunakan untuk pengelolaan faktur. 

Namun, pengguna kemudian diarahkan ke server web berbahaya tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya.

OneDrive berbahaya itu menyimpan sebuah file PDF yang mengandung malware. Sampai di sini, telah proses pengunduhan dropper atau downloader telah dimulai, yang pada akhirnya akan mengirimkan SambaSpy RAT.

Fitur dan Kemampuan SambaSpy

SambaSpy adalah RAT dengan fitur terbilang lengkap, yang ditulis dalam bahasa pemrograman Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, termasuk:

• Manajemen sistem file dan proses
• Kontrol webcam
• Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
• Manajemen desktop jarak jauh
• Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
• Pengunggahan dan pengunduhan file
• Kemampuan untuk memuat plugin tambahan saat runtime

Meskipun target utama adalah pengguna Italia, peneliti Kaspersky menemukan hubungan kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil, yang menunjukkan bahwa pelaku ancaman mungkin berasal dari Brasil.

Sementara itu, infrastruktur yang digunakan dalam pendistribusian malware ini juga terkait dengan serangan lain di Brasil dan Spanyol, meskipun alat infeksi di wilayah ini sedikit berbeda dari yang digunakan di Italia.

Langkah-Langkah Perlindungan

Untuk memaksimalkan keamanan organisasi, Kaspersky menyarankan beberapa langkah perlindungan:

1. Jangan mengekspos layanan desktop jarak jauh seperti RDP ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat.
2. Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir.
3. Memfokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet.
4. Cadangkan data secara teratur dan pastikan dapat diakses dengan cepat dalam keadaan darurat.
5. Gunakan informasi Threat Intelligence terbaru untuk mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.

Itulah beberapa langkah dasar yang bisa dilakukan agar terhindar dari serangan SambaSpy. Berdasarkan penjelasan Kaspersky, metode penyerangan SambaSpy sangat memberikan kerugian yang besar dalam segi privasi para korbannya.