Sepintas komentar di salah satu foto di akun Instagram penyanyi Britney Spears itu terlihat biasa saja.
Bukan spam, tak pula mencurigakan.
Namun di dalamnya ternyata terdapat pesan tersembunyi di kolom komentar.
Komentar tersebut menyimpan petunjuk untuk malware bikinan Turla, sebuah grup hacker Rusia yang memiliki spesialis spionase digital, untuk mengontak server komando.
Malware kemudian mampu mengonversi petunjuk tersembunyi dalam komentar itu menjadi alamat URL.
Dengan begini, hacker bisa mengubah alamat C&C tanpa perlu mengubah malware yang bersangkutan.
C&C biasa digunakan untuk mengirim perintah dan menyimpan data hasil curian dari malware. Sebelum mencari petunjuk di Instagram Spears, malware telah lebih dulu menginfeksi komputer korban dengan menyamar sebagai plugin Firefox.
Malware itu sendiri sebenarnya tergolong trojan backdoor pencuri data biasa. Yang di luar kebiasaan adalah metodenya untuk mengontak C&C melalui media sosial.
Peneliti keamanan Eset, Jean-Ian Boutin, mengatakan penggunaan media sosial oleh hacker bakal menyulitkan pertahanan terhadap malware.
“Pertama, sulit membedakan mana trafik sosial media yang asli dan mana yang dibuat oleh malware. Kedua, pembuat malware diberikan kebebasan lebih untuk mengubah alamat C&C ataupun menghapus jejaknya,” tulis Boutin dalam laporan Eset.
Meski demikian, kelompok hacking Turla agaknya baru mengujicoba penggunaan media sosial sebagai sarana komunikasi dengan malware ini.
Semenjak komentar yang bersangkutan ditulis di foto Britney Spears pada Februari lalu, tercatat baru ada tujuh belas hit menuju alamat C&C tersembunyi.
Malware di akun Spears ternyata bernama Judy..
Malware Judy bekerja secara otomatis tanpa perlu bantuan pengguna. Malware tersebut meraup untung dari klik palsu pada iklan online dalam jumlah besar, yang dibayarkan ke peretas di belakang operasi tersebut.
Malware tersebut ditemukan pada empat puluh satu aplikasi Android yang ditawarkan oleh sebuah perusahaan Korea. Penyebaran malware sangat cepat
Menariknya, banyak dari aplikasi-aplikasi tersebut telah “bersembunyi” alias terdaftar di Google Play Store selama bertahun-tahun.
Namun meski tertanam malware, aplikasi-aplikasiu
Check Point juga menemukan beberapa aplikasi buatan pengembang lain yang berisi malware yang sama. Tidak diketahui apa hubungan antara pengembang-pengembang berbeda itu, dan apakah malware tersebut sengaja atau tidak sengaja menyebar.
Aplikasi yang berisi malware tersebut dikembangkan perusahaan asal Korea bernama Kiniwini yang menggunakan nama ENISTUDIO Corp. di Google Play Store, seperti dikutip dari Antara.
Google telah menghapus aplikasi jahat tersebut dari PlayStore. Aplikasi yang didaftarkan oleh Kiniwini semuanya bernama Judy dalam judulnya, yang menjelaskan bagaimana malware tersebut mendapatkan namanya.
Perlu diketahui bahwa Kiniwini juga mengembangkan aplikasi untuk Apple App Store. Jika Anda memiliki aplikasi tersebut di telepon atau tablet Anda, pastikan Anda segera menghapusnya.
