Tatanga, Varian Trojan Perbankan Infeksi Rekening

Baru-baru ini sebuah perusahaan keamanan Spanyol, S21sec, kabarnya telah berhasil mengidentifikasi virus trojan perbankan (Banking Trojan) terbaru yang mampu menginfeksi dengan cara menyuntikan HTML ke semua browser terpopuler saat ini menggunakan rootkit untuk menyembunyikan komponen-komponen virus tersebut.

Dijuluki dengan sebutan Tatanga, virus trojan perbankan ini dibuat menggunakan bahasa pemrograman C++ dan terdiri dari modul-modul dengan fungsi yang berbeda-beda yang di-decrypt pada memori yang dibutuhkan. Dan seperti virus trojan perbankan lainnya, Tatanga megeksekusi serangan Man-in-the-Browser (MitB) untuk melakukan transaksi ilegal terhadap rekening para korbannya.

Saat ini virus trojan jenis ini telah menyerang bank-bank yang berada di sejumlah negara eropa barat khususnya di Inggris, Jerman, Spanyol dan Portugal. Anti virus yang ada saat ini masih memiliki tingkat pendekteksian yang sangat rendah. Sebuah hasil scan virus menunjukkan hanya 9 yang bisa mendeteksi dari 43 antivirus yang digunakan mendeteksi virus penginfeksi jahat yang melakukannya dengan nama generik.

Pihak Microsoft sendiri menyebutnya dengan Trojan:Win32/Marofev.B dan untuk pertama kalinya deteksinya ditambahkan  pada tanggal 3 September 2010 yang lalu. Namun demikian, definisi yang ada telah di-update seminggu yang lalu, dan kemungkinan ke rekening untuk varian terbaru.

Menurut para peneliti S21sec, virus trojan perbankan ini muncul dengan sebuah modul email permanen, salah satunya yang menangani komunikasi terenkripsi, sedangkan yang lainnya untuk menghilangkan pesaing trojan termasuk ZeuS, modul yang bisa memblokir program antivirus, menangani file konfigurasi yang terenkripsi, injektor HTML, dan patcher file yang tujuannya belum diketahui.

Nama modul ModEmailGrabber dan ModMalwareRemover kemungkinan telah digunakan tahun 2008 yang lalu. Dan boleh jadi virus jenis ini merupakan hasil evolusi dari virus malware. Hal ini mungkin bisa menjelaskan mengapa Microsoft menyebutnya dengan versi Mariofeb.B sebelum pada akhirnya ditambah dengan nama Trojan:Win32/Mariofev.A pada tanggal 7 Oktober 2008 yang lalu.

Trojan beraksi dengan perintah dan server kontrol melalui tujuh situs yang ter-hardcode yang bertindak sebagai proxy, tapi enkripsi komunikasi sangat lemah. Virus Tatanga masuk ke file explorer.exe dan menyuntikan HTML ke beberapa browser populer diantaranya Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Minefield (Firefox dev builds), Maxthoon, Netscape, Safari dan Konqueror. Fitur penting lainnya meliputi dukungan untuk windows 64 bit, teknologi anti-VM, mobile OTP phishing dan Trusteer Rapport evasion.

-Admin, (courtesy from beritateknologi.com)