Jakarta – Peneliti keamanan dari McAfee Labs telah mengidentifikasi sebuah malware baru yang berasal dari Korea. Malware yang diberi nama SpyAgent ini memiliki kemampuan untuk mencuri akses ke dompet kripto milik korbannya. Temuan ini tentu saja menimbulkan kekhawatiran di kalangan pengguna kripto.
SangRyol Ryu, seorang peneliti dari McAfee Labs, menjelaskan bahwa SpyAgent menyusup ke perangkat korban dengan menyamar sebagai aplikasi asli. Aplikasi-aplikasi yang disusupi ini bisa berupa aplikasi perbankan, layanan pemerintah, hingga platform streaming.
Untuk membujuk korban agar mengunduh SpyAgent, para pelaku menggunakan taktik phishing dan social engineering. Mereka memanipulasi korban agar mengklik tautan yang mengandung malware tersebut.
Ryu menemukan malware ini setelah melacak data yang dicuri oleh malware lain. Data tersebut terlacak di sebuah server nakal, dan Ryu berhasil mendapatkan akses ke server tersebut. Dari situ, ia meneliti lebih dari 280 aplikasi palsu yang menyimpan malware SpyAgent.
Lalu, apa yang dicuri oleh SpyAgent? Target utamanya yakni foto, namun bukan sembarang foto yang diincar. Saat korban mengunduh aplikasi yang disusupi SpyAgent, malware ini langsung beraksi dengan membuka koneksi ke server pengontrolnya. Dari situ, malware bisa diperintah secara remote.
SpyAgent memiliki kemampuan unik berupa optical character recognition (OCR). Kemampuan ini membuatnya berbeda dari malware lain. OCR digunakan untuk memindai gambar yang tersimpan di perangkat korban. Target utamanya yakni foto yang menyimpan mnemonic keys, yaitu kalimat berisi 12 kata yang diperlukan untuk me-recover dompet kripto.
Penggunaan mnemonic keys ini tengah populer di kalangan pengguna dompet kripto karena lebih mudah diingat dibandingkan deretan karakter acak yang jumlahnya banyak.
SpyAgent juga memiliki banyak trik untuk menghindari deteksi. Salah satunya adalah mengalihkan perhatian pengguna agar tidak curiga dengan menggunakan loading screen atau tampilan blank pada layar yang terus menerus ditampilkan.
Untuk menghindari pendeteksian dari peneliti keamanan, SpyAgent menggunakan beberapa trik seperti string encoding dan pengubahan nama fungsi.
Cakupan serangan SpyAgent terus bertambah. Jika awalnya hanya memfokuskan pengguna di Korea, kini serangannya sudah menyebar ke negara lain, termasuk Inggris. SpyAgent juga bisa mengubah metode koneksinya dari HTTP ke koneksi WebSocket, yang memungkinkan komunikasi dua arah secara realtime dengan server pengontrolnya.
Operasional backend SpyAgent terlihat sangat canggih untuk sebuah malware. Ryu menemukan laman admin yang didesain untuk memantau perangkat-perangkat korban. Data yang dicuri juga diproses menggunakan Python dan Javascript di servernya, yang kemudian dikelola menggunakan panel.
