Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Android

Android

APT37 menargetkan jurnalis dengan malware multi-platform Chinotto

by

Kelompok peretas negara Korea Utara APT37 menargetkan jurnalis, pembelot, dan aktivis hak asasi manusia Korea Selatan, email spear-phishing, dan serangan smishing yang mengirimkan malware yang dijuluki Chinotto yang mampu menginfeksi perangkat Windows dan Android.

APT37 (alias Reaper) telah aktif setidaknya sejak 2012 dan merupakan kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan pemerintah Korea Utara dengan kepercayaan tinggi oleh FireEye.

Kelompok ini dikenal menargetkan individu yang berkepentingan dengan rezim Korea Utara, termasuk jurnalis, diplomat, dan pegawai pemerintah.

Chinotto, malware yang disebar memungkinkan kelompok peretas untuk mengontrol perangkat yang disusupi, memata-matai penggunanya melalui tangkapan layar, menyebarkan muatan tambahan, mengumpulkan data yang menarik, dan mengunggahnya ke server yang dikendalikan penyerang

Seperti yang ditemukan Kaspersky, pintu belakang tersebut dikirimkan ke perangkat korban beberapa bulan setelah penyusupan awal. Dalam satu kasus, para peretas menunggu selama enam bulan sebelum menginstal Chinotto, yang memungkinkan mereka untuk mengekstrak data sensitif dari perangkat yang terinfeksi.

APT37 Garis waktu serangan Chinotto (Kaspersky)

Chinotto adalah malware yang sangat dapat disesuaikan, seperti yang ditunjukkan oleh banyak varian yang ditemukan saat menganalisis kampanye, terkadang beberapa muatan disebarkan pada perangkat yang terinfeksi yang sama.

Varian Windows dan Android malware menggunakan pola komunikasi perintah-dan-kontrol yang sama dan mengirimkan informasi yang dicuri ke server web yang sebagian besar berlokasi di Korea Selatan.

Karena varian Android meminta izin tambahan pada perangkat yang disusupi, setelah diberikan, Chinotto dapat menggunakannya untuk mengumpulkan data sensitif dalam jumlah besar, termasuk kontak korban, pesan teks, log panggilan, info perangkat, dan bahkan rekaman audio.

Jika mereka menemukan dan mencuri kredensial korban, itu memungkinkan operator APT37 menjangkau target lain menggunakan kredensial yang dicuri melalui email dan media sosial.
APT37 Aliran serangan Chinotto

APT37 Aliran serangan Chinotto (Kaspersky)

“Singkatnya, pelaku menargetkan korban dengan kemungkinan serangan spear-phishing untuk sistem Windows dan smishing untuk sistem Android. Pelaku memanfaatkan versi Windows yang dapat dijalankan dan versi PowerShell untuk mengontrol sistem Windows,” Kaspersky menyimpulkan.

“Kami mungkin berasumsi bahwa jika host dan ponsel korban terinfeksi pada saat yang sama, operator malware dapat mengatasi otentikasi dua faktor dengan mencuri pesan SMS dari ponsel.”

Sumber : Bleeping Computer

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

Bug penyadapan Mediatek berdampak pada 30% dari semua smartphone Android

by

MediaTek memperbaiki kerentanan keamanan yang memungkinkan penyerang menguping panggilan telepon Android, menjalankan perintah, atau meningkatkan hak istimewa mereka ke tingkat yang lebih tinggi.

MediaTek adalah salah satu perusahaan semikonduktor terbesar di dunia, dengan chip mereka hadir di 43% dari semua smartphone pada kuartal kedua tahun 2021.

Kerentanan ini ditemukan oleh Check Point, dengan tiga di antaranya (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) diperbaiki di Buletin Keamanan MediaTek Oktober 2021, dan yang kerentanan keempat (CVE-2021-0673) diperbaiki oleh pembaruan keamanan yang akan datang bulan depan.

Kelemahan ini berarti bahwa semua ponsel cerdas yang menggunakan chip MediaTek rentan terhadap serangan penyadapan atau infeksi malware yang tidak memerlukan interaksi pengguna jika pembaruan keamanan tidak diinstal.

Kemungkinan sejumlah besar perangkat lama yang tidak lagi didukung oleh vendor tidak akan pernah menerima pembaruan keamanan.

Prosesor MediaTek modern menggunakan unit pemrosesan audio khusus yang disebut Digital Signal Processor (DSP) untuk mengurangi beban CPU dan meningkatkan kualitas dan kinerja pemutaran audio.

Unit ini menerima permintaan pemrosesan audio dari aplikasi di ruang pengguna Android melalui driver dan sistem IPC. Secara teoritis, aplikasi yang tidak memiliki hak istimewa dapat mengeksploitasi kelemahan untuk memanipulasi penangan permintaan dan menjalankan kode pada chip audio.

Driver audio tidak berkomunikasi dengan DSP secara langsung tetapi dengan pesan IPI yang diteruskan ke System control processor (SCP).

Dengan merekayasa balik Android API yang bertanggung jawab untuk komunikasi audio, Check Point mempelajari lebih lanjut tentang cara kerja sistem, yang mengarah pada penemuan 4 kerentanan diatas.

Selengkapnya: Bleeping Computer

Hapus 7 Aplikasi Android ini jika anda tidak ingin menghabiskan banyak uang

by

Menurut tweet dari Shishkova tujuh aplikasi ini membawa malware Joker yang berarti berbahaya bagi kesejahteraan finansial Anda. Meskipun aplikasi telah dihapus dari Google Play Store, itu tidak berarti aplikasi tersebut tidak lagi ada di ponsel Anda dan ingin mendaftarkan Anda ke layanan berlangganan penipuan yang sebenarnya tidak ingin Anda bayar.

Jadi periksa ponsel Android Anda untuk hal-hal berikut:

  • Now QRcode Scan – Lebih dari 10.000 pemasangan
  • EmojiOne Keyboard – Lebih dari 50.000 pemasangan
  • Battery Charging Animations Battery Wallpaper – Lebih dari 1.000 pemasangan
  • Dazzling Keyboard – Lebih dari 10 pemasangan
  • Volume Booster Louder Sound Equalizer – Lebih dari 100 pemasangan
  • Super Hero-Effect – Lebih dari 5.000 pemasangan
  • Classic Emoji Keyboard – Lebih dari 5.000 pemasangan

Untuk menghindari peluang menjadi korban malware, selalu periksa bagian komentar sebelum Anda menginstal aplikasi. Kedua, hindari menginstal aplikasi dari developer yang tidak dikenal yang memberikan akses luas untuk aplikasi tersebut namun memiliki sedikit ulasan.

Menemukan tanda bahaya untuk menemukan pemberitahuan LinkedIn palsu

Aplikasi jaringan bisnis LinkedIn merupakan aplikasi yang menghubungkan perusahaan dengan orang-orang, menerima pemberitahuan dari LinkedIn bukanlah hal yang luar biasa. Tetapi Kaspersky mengatakan bahwa pesan dari LinkedIn yang tampaknya berasal dari perusahaan yang sah bisa jadi email palsu yang terlihat asli, contoh phishing.

Dalam laporannya, Kaspersky menunjukkan contoh pesan yang dikirim melalui LinkedIn dari seorang pengusaha Arab. Pesan tersebut, yang seharusnya menyertakan foto pengirim, menanyakan penerima apakah dia ingin berbisnis dengannya. Tetapi ada begitu banyak tanda bahaya dengan surat resmi ini yang dapat mengajari Anda apa yang harus dicari ketika menerima pemberitahuan yang tidak diminta di LinkedIn.

Kesalahan ejaan sangat banyak. Di bagian paling atas Anda akan melihat bahwa LinkedIn salah dieja, dengan tambahan “I.” Juga salah dieja adalah kata “pengusaha.” Tidak ada tautan ke LinkedIn di alamat email, dan pesannya terlalu pendek untuk menjadi tawaran yang serius.

Mengklik tautan yang diposting di pemberitahuan memunculkan halaman login yang tampak seperti LinkedIn yang asli. Tetapi URL (optikzade.com.tr) tidak menyebutkan LinkedIn dan alih-alih domain .com, alamat tersebut menunjukkan bahwa halaman masuk palsu berasal dari Turki.

Upaya phishing lain yang melibatkan LinkedIn mungkin lebih sulit untuk ditangkap pada awalnya. Pemberitahuan masih berisi beberapa tanda merah karena meminta “Qoute.” Tetapi siapa di antara kita yang tidak pernah salah mengganti dua huruf, terutama saat mengetik cepat dalam bahasa yang bukan bahasa asli Anda.

Tetapi baris subjek untuk pemberitahuan ini berbunyi, “Juli Jiang mengirimi Anda pesan” hilang sebuah artikel sebelum kata “pesan.” Itu mungkin tidak tampak seperti masalah besar sampai Anda menyadari bahwa LinkedIn membuat baris subjek secara otomatis dan tidak akan ketinggalan memasukkan artikel.” Dan mengetuk tautan membawa Anda ke halaman login palsu yang menunjukkan kesalahan yang menutupi sebagian logo LinkedIn di bagian atas, dan salah menuliskan nama aplikasi sebagai Linkedin.

Selengkapnya : Phone Arena

SharkBot: generasi baru Trojan Android menargetkan bank di Eropa

by

Pada akhir Oktober 2021, trojan perbankan Android baru ditemukan dan dianalisis oleh tim Cleafy TIR. Karena tim peneliti tidak menemukan referensi ke keluarga yang dikenal, tim peneliti memutuskan untuk menjuluki keluarga baru ini SharkBot.

Tujuan utama SharkBot adalah untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor (mis., SCA).

Mekanisme ini digunakan untuk menegakkan verifikasi dan otentikasi identitas pengguna, biasanya dikombinasikan dengan teknik deteksi perilaku untuk mengidentifikasi transfer uang yang mencurigakan.

Tim peneliti mengidentifikasi botnet yang saat ini menargetkan Inggris, Italia, dan AS, termasuk aplikasi perbankan dan pertukaran mata uang kripto. Mengingat arsitektur modularitasnya, tim peneliti tidak mengecualikan keberadaan botnet dengan konfigurasi dan target lain.

Setelah SharkBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh informasi perbankan sensitif melalui penyalahgunaan Layanan Aksesibilitas, seperti kredensial, informasi pribadi, saldo saat ini, dll., tetapi juga untuk melakukan gerakan pada perangkat yang terinfeksi.

Pada saat penulisan, SharkBot tampaknya memiliki tingkat deteksi yang sangat rendah oleh solusi antivirus karena beberapa teknik anti-analisis telah diterapkan: string obfuscation routine, deteksi emulator, dan algoritme pembuatan domain (DGA) untuk komunikasi jaringannya selain fakta bahwa malware telah ditulis dari awal.

SharkBot mengimplementasikan serangan Overlay untuk mencuri kredensial login dan informasi kartu kredit dan juga memiliki kemampuan untuk mencegat komunikasi perbankan yang sah yang dikirim melalui SMS.

Pada saat penulisan, beberapa indikator menunjukkan bahwa SharkBot dapat berada pada tahap awal pengembangannya.

Selengkapnya: Cleafy

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer

Malware Android baru menargetkan pengguna Netflix, Instagram, dan Twitter

by

Malware Android baru yang dikenal sebagai MasterFred menggunakan overlay login palsu untuk mencuri informasi kartu kredit pengguna Netflix, Instagram, dan Twitter.

Trojan perbankan Android ini juga menargetkan pelanggan bank dengan overlay login palsu khusus dalam berbagai bahasa.

Sampel MasterFred pertama kali dikirimkan ke VirusTotal pada Juni 2021 dan pertama kali terlihat pada Juni. Analis malware Alberto Segura juga membagikan sampel kedua secara online satu minggu lalu yang menunjukkan bahwa itu digunakan oleh pengguna Android dari Polandia dan Turki.

“Dengan memanfaatkan toolkit Aksesibilitas Aplikasi yang diinstal di Android secara default, penyerang dapat menggunakan aplikasi untuk menerapkan serangan Overlay untuk mengelabui pengguna agar memasukkan informasi kartu kredit untuk pembobolan akun palsu di Netflix dan Twitter,” kata Avast.

Penggunaan jahat dari layanan Aksesibilitas bukanlah sesuatu yang baru karena pembuat malware telah menggunakannya untuk mensimulasikan ketukan dan menavigasi UI Android menginstal muatan mereka, mengunduh dan menginstal malware lain, dan menjalankan berbagai operasi di latar belakang.

Namun, ada beberapa hal yang membuat MasterFred menonjol. Salah satunya adalah aplikasi jahat yang digunakan untuk menyebarkan malware di perangkat Android juga menggabungkan lapisan HTML yang digunakan untuk menampilkan formulir login palsu dan mengambil informasi keuangan korban.

Malware ini juga menggunakan gerbang web gelap Onion.ws (alias proxy Tor2Web) untuk mengirimkan informasi yang dicuri ke server jaringan Tor di bawah kendali operatornya.

Karena setidaknya salah satu aplikasi berbahaya yang menggabungkan bankir MasterFred baru-baru ini tersedia di Google Play Store, aman untuk mengatakan bahwa operator MasterFred juga kemungkinan menggunakan toko pihak ketiga sebagai saluran pengiriman untuk malware baru ini.

Selengkapnya : Bleeping Computer

Ini Alasan Mengapa Anda Harus Menghapus Google Chrome di Ponsel Android Anda

by

Peringatan baru untuk pengguna Google Chrome, karena browser tersebut ditemukan memanen data ponsel sensitif tanpa disadari pengguna.

Bulan lalu, aplikasi Facebook terungkap melacak pergerakan pengguna iPhone, mengakses akselerometer perangkat setiap saat.

Facebook adalah pemanen data paling rakus di dunia, dan informasi sensitif ini dapat digunakan untuk memantau perilaku, menghubungkan nya dengan jumlah data yang luar biasa besar yang dikumpulkannya.

Tetapi Facebook bukanlah pemanen data paling sukses di dunia—hadiah itu diberikan kepada Google. Tidak seperti Facebook, yang telah terpukul keras oleh langkah-langkah privasi terbaru Apple, pendapatan iklan digital Google terus melonjak.

Sementara Facebook mengumpulkan informasi ini untuk dirinya sendiri, Chrome dengan senang hati mengumpulkannya untuk orang lain—pada dasarnya memungkinkan informasi yang sangat sensitif tentang setiap aktivitas Anda, setiap perilaku Anda.

Peneliti Tommy Mysk memperingatkan bahwa “sensor gerak dapat diakses oleh semua situs web di Android/Chrome secara default, [sedangkan] Safari/iOS melindungi akses dengan izin.” Namun, yang jauh lebih buruk adalah Chrome melakukan ini bahkan saat disetel ke mode penjelajahan pribadi atau “penyamaran/incognito”.

Anda dapat menonaktifkan akses ke sensor gerak ponsel Anda di Chrome pada Android di Pengaturan Situs—tetapi Anda akan melihat bahwa Google merekomendasikan untuk membiarkannya menyala.

Cara Disable Motion Access

Selengkapnya: Forbes