PyVil atau remote access trojan (RAT) yang berbasis Python dilaporkan mampu mengekstrak data, melakukan keylogging dan mengambil screenshot dari perangkat seseorang.
Dan setelah itu mampu meluncurkan serangan berikutnya untuk mengambil kata sandi yang disimpan di dalam PC atau laptop.
PyVil dibuat oleh kelompok hackers dengan julukan Evilnum yang pertama kali muncul pada tahun 2018 menggunakan malware JavaScript eponim. Sejak itu, kelompok ini telah mengembangkan berbagai jenis kode yang ditulis dalam bahasa JavaScript dan C #.
Malware ini juga bisa mengubah data yang dikirimkan saat proses Know Your Customer. KYC adalah proses yang dilakukan oleh semua perusahaan fintech untuk memverifikasi identitas klien mereka, sebelum menjalankan hubungan bisnis seperti pinjaman online atau kerja sama lainnya.
Umumnya KYC bertujuan untuk mencegah praktik pencucian uang, korupsi dan memeriksa kualitas kredit seseorang (BI checking).
Namun PyVil ternyata mampu mengubah data seseorang pada laman proses KYC ini dan memberikan data yang palsu ke pihak fintech. Hal ini dapat berakibat fatal bagi kelangsungan bisnis fintech tersebut untuk jangka panjang.
PyVil RAT dikompilasi dengan py2exe, yang merupakan ekstensi Python yang dapat mengubah skrip Python menjadi executable-file Microsoft Windows. Kode Python di dalam py2exe akan disamarkan dengan lapisan ekstra, untuk mencegah dekompilasi.
Hal ini memberi RAT kemampuan untuk mengunduh modul baru dan memperluas fungsinya.
Dengan menggunakan dump memori, PyVil dapat mengekstrak lapisan pertama kode Python.
Potongan kode pertama mendekode dan mendekompresi lapisan kedua kode Python. Lalu lapisan kedua kode Python mendekode dan memuat RAT utama yang akan diimpor ke memori.
