Para pengguna Android di lebih dari 20 negara telah terinfeksi oleh sebuah program malware yang agresif dan mampu membombardir handphone dengan iklan-iklan yang tidak diinginkan. Para periset dari FireEye menemukan komponen yang berbahaya tersebut, dinamakan Kemoge, telah disisipkan di dalam app yang tampaknya asli dan ditawarkan melalui application store di luar PlayStore milik Google.
"Ini merupakan keluarga adware lainnya lagi yang berbahaya, yang mungkin dikerjakan oleh para pengembang di China atau dikendalikan oleh hacker-hacker dari China, menyebar dalam skala global dan merupakan sebuah ancaman yang serius," jelas Yulong Zhang, salah seorang staff periset dari FireEye.
Pada akhirnya, siapa pun yang telah menciptakan Kemoge, mereka dengan lihai mengemasnya dalam sebuah app asli yang dimodifikasi dengan menyisipkan malware tersebut di dalamnya dan mempromosikannya melalui situs-situs internet dan menampilkannya melalui iklan-iklan di dalam app untuk memikat orang-orang agar mau untuk mengunduhnya.
Zhang merunutkan beberapa app yang diduga telah disisipkan malware tersebut, yaitu: Sex Cademy, Assistive Touch, Calculator, Kiss Browser, Smart Touch, Shareit, Privacy Lock, Easy Locker, 2048kg, Talking Tom 3, WiFi Enhancer, dan Light Browser.
Bermacam application store yang hadir secara third-party dipertimbangkan sebagai lokasi-lokasi yang beresiko untuk mengunduh app Android, karena para hackers secara rutin mengunggah app-app yang berbahaya melalui mereka. Google kerap melakukan security check pada app-app yang ditampilkan pada PlayStore mereka, meski kadang-kadang ada app berbahaya yang berhasil disusupkan.
Selain menampilkan iklan-iklan yang tak diinginkan, Kemoge juga diisi oleh sebanyak delapan root exploit yang akan menyasar banyak piranti berbasis Android, jelas Zhang lagi. Sebuah serangan yang sukses dengan menggunakan program-progam exploit tersebut akan memberikan kemampuan bagi si penyerang untuk mengambil alih piranti tersebut, mungkin termasuk handphone milik kita, secara total.
Para pengguna akan dipikat utuk mengunduh app yang terinfeksi melalui berbagai marketplace third-party, dan gadget mereka akan dideteksi telah mengalami kegagalan software, tutur FireEye. Selanjutnya, Kemoge akan mencatat nomer-nomer IMEI (International Mobile Station Equipment Identity) dan IMSI (International Mobile Subscriber Identity), juga informasi atas storage dan apps dari piranti tersebut, dan mengirimkan informasi tersebut melalui sebuah remote server.
Server yang dimaksud masihlah berjalan hingga kini, tulis Zhang. Sebuah analisa atas lalu lintas pertukaran data antara sebuah gadget yang terinfeksi dan server tersebut mengunjukkan bahwa Kemoge juga berupaya untuk melakukan uninstall terhadap app antivirus.
Menakutkannya, FireEye telah mendapati sebuah app bernama Shareit dalam PlayStore milik Google yang ditandai dengan digital certificate yang sama dengan versi yang berbahaya, yang ditemukan melalui sumber-sumber third-party.
Versi Google Play atas ShareIt tersebut didapati tidak memiliki delapan root exploit atau pun melakukan kontak dengan server yang disebutkan di atas, namun app tersebut memiliki code library yang sama dengan yang dimiliki Kemoge. Untunglah, app tersebut kini telah dihilangkan dari Google Play.
"Kami telah memberitahukan Google mengenai ancaman ini," jelas Zhang.
