Pada tahun 2020, ada kabar mengenai malware Rampant Kitten asal Iran yang dapat mencuri kode OTP (one-time password). Ini hanya satu dari sekian banyaknya malware di internet yang dapat menginfeksi perangkat Anda.
Saat malware seperti ini berada di perangkat—baik komputer, laptop, atau smartphone—korban, mereka akan dapat mengeksekusi perintah hacker. Salah satunya yaitu mengumpulkan data penting seperti pesan OTP.
Meski malware ini sudah lama terdeteksi, tidak ada salahnya untuk mengenali bagaimana malware tersebut bekerja. Kenali seperti apa, dan bagaimana cara mengatasi malware yang memiliki sifat serupa.
Apa itu Malware Rampant Kitten?
Dilansir dari situs riset Check Point, malware berbahaya ini berasal dari grup siber yang disponsori pemerintah Iran bernama Rampant Kitten. Malware ini juga termasuk sebagai salah satu advanced persistent threat (APT).
APT itu sendiri adalah jenis serangan siber yang dapat mengakses perangkat untuk tujuan politik atau ekonomi. Dalam kasus Rampant Kitten, malware digunakan untuk menyadap grup minoritas, organisasi anti-pemerintah, hingga gerakan pemberontakan.
Dalam melancarkan aksinya, Rampant Kitten menargetkan dua perangkat, yakni komputer dan Android. Malware ini juga sempat disisipkan pada aplikasi yang membantu orang berbahasa Persia untuk mendapatkan surat izin mengemudi negara Swedia.
Rampant Kitten dilaporkan sudah melakukan serangan siber ini sejak 2014, 6 tahun sebelum ditemukan oleh penyelidik Check Point di tahun 2020. Malware ini dianggap setara dengan APT20 yang berasal dari China.
Bagaimana Cara Kerja Malware Rampant Kitten?
Saat ini, terdapat dua versi malware dari Rampant Kitten, dan keduanya memiliki cara kerja yang berbeda.
Versi Komputer
Versi ini awalnya berasal dari dokumen yang diunduh dari remote template. Korban yang mengunduh file tersebut akan terinfeksi malware asal Rampant Kitten tersebut. Berikut bagaimana malware ini bekerja pada komputer:
- Saat berhasil masuk ke perangkat korban, malware mulai memindai adanya aplikasi Telegram pada komputer korban. Malware lalu mengekstrak tiga file executable untuk mengambil data penting.
- Usai Telegram, malware juga mengambil informasi login pada KeePass, password manager yang ada di komputer tersebut.
- Setelah dua program tersebut, malware lalu memindai jika ada data relevan—dalam extension tertentu—yang bisa diambil.
- Semua data yang dicuri lalu akan di-encode, baru kemudian diunggah ke C&C (command-and-control) server yang sudah ditentukan pelaku.
Versi Android
Tadi itu adalah Rampant Kitten versi komputer. Lantas, bagaimana dengan versi Android? Seperti yang dijelaskan, malware ini menginfeksi melalui aplikasi yang disebutkan di atas. Berikut cara kerjanya di Android:
- Untuk menginfeksi smartphone, malware meminta korban untuk mengizinkan akses untuk melihat dan mengirim SMS. Apabila korban terjebak dan mengizinkan, malware akan mengumpulkan semua SMS.
- Untuk perintah phishing akun Google, korban akan dihadapkan dengan halaman Sign In Google. Saat korban mengetikkan email dan password, malware akan mendapatkan info tersebut.
- Untuk perintah merekam, malware akan memberikan notifikasi palsu “Google protect is enabled”, untuk memastikan korban tidak menyadari bahwa adanya malware di smartphone.
- Setelah semua data tersebut dikumpulkan, malware akan meng-encode dan mengirim data tersebut ke C&C server.
Fitur Berbahaya Malware Rampant Kitten
Dari penjelasan di atas, dapat dipastikan jika malware ini memiliki fitur-fitur yang berbahaya. Apa saja fitur berbahaya yang dimiliki malware ini? Berikut daftar lengkapnya:
1. Mencuri Data Penting dan Informasi dari KeePass
Kedua versi malware dikembangkan untuk satu tujuan utama: Mengumpulkan data-data penting. Untuk versi komputer, malware mencuri data dari program Telegram, khususnya Telegram Desktop.
Selain itu, malware juga mencuri informasi password dari password manager KeePass, jika tersedia pada komputer tersebut. Terakhir, informasi relevan dalam bentuk extension tertentu juga akan dicuri.
2. Mencegah Pengiriman Kode OTP dan 2FA
Malware ini memiliki fitur unik yang dapat mengalihkan pesan seperti SMS OTP dan 2FA dari perangkat korban. Pesan ini akan dialihkan ke nomor pelaku yang memiliki C&C server, dimana pesan tersebut dikirimkan.
Khusus 2FA Google, malware akan mengalihkan setiap pesan yang dimulai dengan “G-”. Sementara untuk pesan dari aplikasi Telegram dan lainnya, semuanya akan dikirimkan ke C&C server yang dimiliki pelaku.
3. Mencuri Daftar Kontak dan SMS Korban
Untuk malware versi Android, sasarannya lebih ke informasi kontak dan SMS yang ada di smartphone korban. Yang korban perlu lakukan hanyalah memberi izin akses kepada malware, tanpa mereka sadari.
Selain kedua data ini, malware juga akan mencuri informasi akun-akun pada smartphone, dan daftar aplikasi yang diinstal. Tak ada yang bisa korban lakukan untuk menghentikan atau memulihkan kembali hal ini.
4. Merekam Suara Melalui Mikrofon Ponsel
Kalau ketiga fitur tersebut belum cukup, malware ini juga mampu merekam suara di sekitar smartphone. Untuk merekam tanpa ketahuan, malware membuat aplikasi bekerja di background tanpa korban sadari.
Umumnya, aplikasi yang ingin merekam akan perlu memberikan notifikasi ke pengguna smartphone. Agar tidak ketahuan, malware memberikan notifikasi palsu “Google protect is enabled” di layar notifikasi.
Cara Melindungi Diri dari Malware yang Mencuri OTP
Penjelasan malware Rampant Kitten di atas cukup memberikan pesan bahwa malware itu berbahaya. Kenyataan pahitnya, malware attack seperti milik Rampant Kitten itu sudah banyak terjadi selama ini. Jadi, bagaimana?
Perlu diingat, jika kunci dari mengatasi malware adalah korban itu sendiri. Mencegah malware tersebut menginfeksi perangkat dari awal adalah keputusan yang tepat. Pelajari bagaimana cara mencegahnya:
1. Hati-Hati dalam Mengunduh Aplikasi
Aplikasi manapun dapat disisipkan malware—seperti contoh di atas—yang dapat langsung beraksi sebelum korban sadar. Maka itu, hati-hati saat menginstal aplikasi dengan cara:
- Selalu download aplikasi resmi pada Play Store. Kalau di komputer, unduh program atau software pada situs resminya.
- Jika tidak tersedia di Play Store, kenali aplikasi secara mendalam sebelum mengunduh. Riset terlebih dahulu sebelum menginstal.
- Hindari mengunduh aplikasi versi MOD, terutama melalui situs yang tidak dikenal, atau dikirim orang lain yang belum pasti sudah aman file-nya.
2. Aktifkan Autentikasi Dua-Faktor (2FA) agar Lebih Aman
OTP authentication memang aman, namun belum sepenuhnya aman. Jika disediakan opsi 2FA two factor authentication, maka aktifkan fitur tersebut supaya lebih aman.
Kalau hacker sudah mendapatkan OTP, mereka belum tentu dapat mengakses akun. Faktor 2FA seperti biometrik, membuat akun hanya dapat diakses dengan fisik pemilik akun yang sah.
3. Perbarui Sistem dan Aplikasi secara Berkala
Selalu ingat untuk memperbarui sistem dan aplikasi jika update terbarunya sudah tersedia. Hal ini perlu dilakukan agar tidak ada celah keamanan yang bisa dieksploitasi oleh malware.
4. Hati-Hati saat Membuka Link
Terakhir, hati-hati saat mendapat link dari pesan atau email. Untuk itu, ada berbagai upaya yang bisa dilakukan untuk mengecek amannya suatu link:
- Gunakan situs VirusTotal untuk mengecek link phishing. Ada kemungkinan bahwa link tersebut sudah di cek berbagai vendor keamanan siber.
- Cek pengirim (Sender ID) yang mengirimkan link tersebut. Sebaiknya hindari mengklik link dari pengirim yang belum terverifikasi, atau masih belum jelas siapa dibalik pengirim.
Malware Rampant Kitten merupakan salah satu contoh malware yang perlu diwaspadai. Di masa depan, malware baru akan selalu mengintai korban. Jadi, selalu berhati-hati dan lindungi diri sendiri dari kejahatan siber yang merugikan diri dan orang sekitar.
