Aplikasi Berkedok "Virus Iklan" Beredar di Play Store, Sudah Diunduh 30 Juta Kali

Tim keamanan siber dari Avast yang menemukan 50 aplikasi yang berisi malware bermotif iklan ini.

Aplikasi-aplikasi itu menawarkan layanan kebugaran dan editing foto yang menyamar sebagai aplikasi legal tapi sejatinya adalah sebuah virus iklan. Aplikasi ini tercatat telah diunduh 30 juta kali.

Sebelumnya, peneliti dari Check Point menemukan enam aplikasi yang telah disuntikkan malware iklan PreAMO pekan lalu. Aplikasi itu juga telah diunduh 90 juta kali.

Tim Avast mengatakan, aplikasi-aplikasi yang ditemukan saling terhubung satu sama lain melalui pustaka pihak ketiga. Mereka mampu menerobos pembatas background service di Android versi terbaru.

Avast mendeteksinya sebagai "Android: Agent-SEB (PUP)" karena aplikasi-aplikasi itu diketahui menguras daya baterai dan membuat ponsel jadi lebih lambat.

"Aplikasi-aplikasi ini menggunakan pustaka untuk terus-menerus menampilkan lebih banyak iklan ke pengguna yang sebenarnya dilarang oleh Play Store," tulis tim Avast dalam publikasinya.

Setiap aplikasi menampilkan iklan secara penuh ke layar pengguna. Tak jarang, aplikasi lain juga mengarahkan pengguna untuk menginstal aplikasi tambahan yang juga berisi adware.

Beberapa aplikasi itu adalah Pro Piczoo, Photo Blur Studi, Movtracker, Magic Cut Out, dan Pro Photo Eraser.

Jumlah instal aplikasi ini bisa menembus angka satu juta. Dua versi aplikasi berisi malware bernama TdSdk juga ditemukan di Play Store.

Versi yang lebih tuanya, telah diinstal 3,6 juta kali dan dipajang bersama dengan aplikasi game sederhana, aplikasi edit foto, dan aplikasi kebugaran.

Dilansir KompasTekno dari ZD Net, Selasa (30/4/2019), ketika diinstal, aplikasi ini tampak terlegitimasi dan aman digunakan. Keanehan baru akan terasa ketika muncul banyak shortcut dari laman atau layanan yang tidak diinginkan di layar utama ponsel.

Sejumlah aplikasi juga menambahkan shortcut ke "Game Center" yang membuka laman yang mengiklankan game berbeda. Aplikasi lain juga bisa menginstal software tambahan secara otomatis tanpa diminta pengguna.

Sementara versi TsSdk yang lebih baru, ditemukan di dalam beberapa aplikasi layanan musik dan kebugaran dan telah diinstal 28 juta kali. Pengembang telah mengubah kode dan mengenkripsi kode aplikasi ini.

Kemungkinan, pengembang ingin membuat kode tersebut tertanam lebih lama di perangkat dan hanya akan muncul saat terkoneksi dengan Facebook.

Software Developer Kit (SDK) Facebook memang memiliki fitur bernama "deferred deep linking" yang memungkinkan aplikasi ini mendeteksi aktivitas tersebut.

Setelah iklan diklik, aplikasi adware tadi akan menampilkan iklan tambahan dalam empat jam pertama, lalu jarang muncul hingga muncul secara acak.

Meski iklan tambahan jarang muncul, iklan layar penuh masih tetap akan ditampilkan setiap layar tidak dikunci atau setiap 15 dan 30 menit sekali.

Kendati aplikasi adware ini mampu menerobos background Android terbaru, namun Avast mengatakan malware tidak akan berfungsi dengan baik di versi Android 8 Oreo ke atas karena tidak kompatibel dengan sistem manajemen background aplikasi ini.

Avast telah menghubungi Google untuk menghapus aplikasi-aplikasi adware yang ditemukan.
Beberapa aplikasi telah dihapus, seperti Pro Piczoo, Photo Blur Studio, dan Mov-tracker.