Setelah perangkat terinfeksi, RAT akan mengirimkan informasi tentang perangkat ke server kontrol yang dikelola oleh peretas atau hacker. Dari sana, peretas dapat mengendalikan perangkat yang terinfeksi melalui antarmuka web atau melalui perintah command line.
Peretas dapat mengambil data dari perangkat, mengambil screenshot, mengontrol kamera, mengirimkan pesan, dan banyak lagi. RAT juga dapat digunakan untuk menyebarkan malware lainnya ke perangkat lain di jaringan, sehingga membuat jaringan yang terinfeksi semakin luas.
Aplikasi 'LIHAT Foto Paket' dalam kasus di atas mempunyai kesamaan yang identik dengan script-script yang telah di-decrypt oleh Tim kami dari aplikasi serupa yang kami temukan. Jenis RAT terbaru yang digunakan dalam aplikasi tersebut guna menyerang perangkat smartphone saat ini adalah malware yang ditularkan melalui aplikasi yang diunduh dari sumber yang tidak terpercaya.
Contoh malware yang digunakan adalah Anubis, Cerberus, dan SpyNote. Ini adalah aplikasi yang dapat diunduh dan diinstal pada perangkat android yang kemudian digunakan untuk mengambil alih kontrol perangkat dan mengambil data pribadi. Selain itu, RAT terbaru juga menyertakan fungsi-fungsi yang cukup canggih seperti mengambil foto dari kamera, mengaktifkan mikrofon, mengakses data GPS dan banyak lagi.
Terus, ada pertanyaan: "bagaimana Anda dapat mengetahui isi aplikasi yang serupa?" - tahap awal saya memulai aktivitas decompare (bukan reverse engineering) aplikasi serupa adalah menonaktifkan connectivity internet - Tim menghapus script perintah yang memutuskan jalur aksesibilitas internet aplikasi dengan perangkat sehingga aplikasi tersebut terisolasi dan tidak dapat mengakses internet sama sekali jika sudah terinstall di perangkat. Dengan demikian, pemilik aplikasi sejenis 'LIHAT Foto Paket'.APK tidak dapat mengakses perangkat yang digunakan secara offline.
Kalau dibaca-baca kembali, mungkin sebagian orang awam yang kurang mengenal dunia komputer atau sejenisnya agak bingung dengan penjelasan ini, sehingga saya akan mengubah gaya penjelasan saya supaya sesuai dengan alur berpikir sederhana para pembaca awam. Jadi, sederhananya seperti ini:
Setelah Tim menginstall aplikasi yang sudah totally-isolated offline, saya dan Tim menggunakan program *** untuk mengurai dan memetakkan framework aplikasi tersebut dengan menggunakan ADB Tools dan pc sebagai medium rontgen perangkat. Ternyata, di dalam aplikasi tersebut, kami menjumpai beberapa script dan hidden format file pendukung yang memuat framework aplikasi tersebut sebagai berikut:
1) ada perintah dalam aplikasi yang menghapus hak akses pengguna untuk menjalankan program hp yang melindungi privasi pengguna dalam hal pembayaran digital (disable secure payment). Artinya, ketika Anda buka e-wallet atau bank digital, virus pembuat aplikasi juga ikut masuk (mengekori Anda) tanpa Anda sadari.
2) ada perintah dalam aplikasi yang menghapus perlindungan keyboard perangkat pengguna, sehingga dengan jelas apa yang Anda ketik, secara otomatis akan direkam oleh aplikasi virus dan mengirimnya kepada pemilik aplikasi (virus) tersebut.
Artinya, ketika Anda ketik username/password dalam sebuah aplikasi/website, otomatis aplikasi virus tersebut akan meng-copy paste tulisan Anda dalam sebuah catatan tersembunyi, kemudian mengirimkannya kepada pemilik aplikasi virus tersebut.
Ketik salah atau benar, tetap aplikasi/programnya akan terus mengikuti ketikan Anda dan setelah Anda tekan enter, duplikat huruf/kata/kalimat bahkan emote pun ikut ditiru virus aplikasi dan rangkumannya akan dikirim kepada pemilik aplikasi pencuri.
