Android

Pesan Palsu Ke Ponsel Android Ini Mengarah Ke Malware Pencuri Data

July 20, 2020 by Winnie the Pooh

Suatu bentuk malware Android yang kuat yang dapat mencuri detail bank, informasi pribadi, komunikasi pribadi dan banyak lagi telah kembali dengan kampanye baru yang menyebar dengan sendirinya melalui serangan phishing SMS.

Para peneliti cybersecurity di Cybereason mengatakan bahwa ini adalah sebuah malware yang menggunakan teks “missed delivery” untuk mengecoh penerima yang tidak curiga.

Setelah melakukan penyelidikan, tim Cybereason menyimpulkan bahwa kampanye malware yang disebut FakeSpy ini berkaitan dengan ‘Roaming Mantis’, operasi aktor siber berbahasa Cina yang telah mengoperasikan kampanye serupa.

Malware FakeSpy telah aktif sejak 2017, awalnya menargetkan pengguna di Jepang dan Korea Selatan, namun sekarang ini menargetkan pengguna Android di seluruh dunia – dengan serangan yang dirancang khusus untuk memikat pengguna di Asia, Eropa dan Amerika Utara.

Menurut penelitian yang dilakukan oleh tim Cybereason, FakeSpy dapat mengeksfiltrasi dan mengirim pesan SMS, mencuri data keuangan, membaca informasi akun, dan daftar kontak. Pengguna diperdaya untuk mengklik pesan teks yang memberitahukan mereka tentang pengiriman yang terlewat, yang mengarahkan mereka pada sebuah website untuk mengunduh aplikasi Android berbahaya.

FakeSpy juga mengeksploitasi infeksi untuk menyebarkan dirinya, mengirim pesan phishing bertema pos ke semua kontak korban, menunjukkan ini bukan kampanye yang ditargetkan. Ini adalah operasi siber kriminal yang digerakkan secara finansial yang ingin menyebar sejauh dan seluas mungkin dengan tujuan menghasilkan uang sebanyak mungkin dari informasi bank curian dan kredensial pribadi lainnya.

Direktur senior Cybereason dan kepala riset ancaman Assaf Dahan mengatakan kepada ZDNet bahwa orang-orang harus curiga terhadap pesan SMS yang berisi tautan. “Jika mereka mengklik tautan,” kata Dahan, “mereka perlu memeriksa keaslian halaman web, mencari kesalahan ketik atau nama situs web yang salah, dan yang terpenting – hindari mengunduh aplikasi dari toko tidak resmi.”

Praktik-praktik ini dapat melindungi Anda dari mengunduh aplikasi jahat secara tidak sengaja, jatuh dalam serangan phishing, dan banyak lagi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: BGR | ZDNet

Malware Android BlackRock Dapat Mencuri Kata Sandi Dan Data Kartu Dari 337 Aplikasi

July 17, 2020 by Winnie the Pooh

Dilansir dari ZDNet, sebuah jenis baru malware Android telah ditemukan yang dilengkapi dengan berbagai kemampuan pencurian data yang memungkinkannya menargetkan 337 aplikasi Android.

Dinamai BlackRock, ancaman baru ini muncul pada Mei tahun ini dan ditemukan oleh perusahaan keamanan seluler ThreatFabric.

Para peneliti mengatakan bahwa malware ini didasarkan pada kode sumber yang bocor dari strain malware lain (Xerxes, yang juga bersumber dari malware strain lain) tetapi ditingkatkan dengan fitur tambahan, terutama pada sisi yang berkaitan dengan pencurian kata sandi pengguna dan informasi kartu kredit.

BlackRock masih berfungsi seperti kebanyakan trojan perbankan Android, kecuali, ia menargetkan lebih banyak aplikasi daripada sebagian besar pendahulunya.

Trojan ini akan mencuri kredensial login (nama pengguna dan kata sandi), jika tersedia, tetapi juga meminta korban untuk memasukkan detail kartu pembayaran jika aplikasi mendukung transaksi keuangan.

Menurut ThreatFabric, pengumpulan data dilakukan melalui teknik yang disebut “overlay,” yaitu teknik yang terdiri dari pendeteksian saat pengguna mencoba berinteraksi dengan aplikasi yang sah dan memperlihatkan jendela palsu di atasnya yang dapat mengumpulkan detail login korban dan data kartu sebelum mengizinkan pengguna untuk memasuki aplikasi yang sah.

Daftar lengkap aplikasi yang ditargetkan dirinci dalam laporan BlackRock.

Setelah diinstal pada perangkat, aplikasi jahat yang tercemar dengan trojan BlackRock meminta pengguna untuk memberikannya akses ke fitur Aksesibilitas telepon.

Fitur Aksesibilitas Android adalah salah satu fitur sistem operasi yang paling kuat, karena dapat digunakan untuk mengotomatiskan tugas dan bahkan melakukan taps (klik) atas nama pengguna.

BlackRock menggunakan fitur Aksesibilitas untuk memberikan dirinya akses ke izin Android lainnya dan kemudian menggunakan DPC Android (pengontrol kebijakan perangkat, alias work profile) untuk memberikan sendiri akses admin ke perangkat.

Kemudian menggunakan akses ini untuk menampilkan overlay berbahaya, tetapi ThreatFabric mengatakan trojan juga dapat melakukan operasi mengganggu lainnya, seperti:

Menyadap pesan SMS
Melakukan SMS Floods
Melakukan Spam Kontak dengan SMS yang telah ditentukan
Memulai aplikasi tertentu
Menyimpan log key taps(fungsionalitas keylogger)
Menampilkan push notification yang telah dicustom
Menyabotase aplikasi antivirus seluler, dan banyak lagi

Saat ini, BlackRock didistribusikan dengan menyamar sebagai paket pembaruan Google palsu yang ditawarkan di situs pihak ketiga, dan trojan tersebut belum terlihat di Play Store resmi.

Sangat disarankan kepada seluruh pengguna Android untuk tidak mengunduh aplikasi Android di luar Google PlayStore dan tetap waspada sebelum mengunduh sesuatu, baik itu dari toko resmi Google atau tidak.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Varian Baru Malware Joker di Android

July 16, 2020 by Winnie the Pooh

Analis dari Check Point Research menemukan sejumlah aplikasi yang menggunakan apa yang peneliti deskripsikan sebagai varian baru dari malware Joker dan yang bersembunyi di Google Play Store dalam “aplikasi yang tampaknya sah.”

“Kami menemukan bahwa versi Joker yang diperbarui ini dapat mengunduh malware tambahan ke perangkat, yang membuat pengguna berlangganan ke layanan premium tanpa sepengetahuan atau persetujuan mereka,” tulis tim Check Point dalam ringkasan temuan mereka. Laporan itu memberikan nama paket untuk 11 aplikasi (salah satunya terdaftar dua kali), sehingga Anda dapat menggunakan ini untuk melihat apakah salah satu dari mereka mungkin ada di ponsel Anda tetapi dengan identitas yang berbeda:

com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame

Untuk membuat orang berlangganan ke layanan premium tanpa mereka sadari, malware Joker tampaknya menggunakan layanan Notification Listener aplikasi asli, serta file dex dinamis yang dimuat oleh server perintah dan kontrol untuk melakukan pendaftaran pengguna yang sebenarnya. Check Point mengatakan itu adalah teknik umum bagi pengembang malware PC Windows untuk mengaburkan “sidik jari” kode mereka dengan menyembunyikan file dex sambil tetap memastikannya dapat memuat.

Google telah menghapus aplikasi di atas dari Play Store, tetapi Aviran Hazum dari Check Point mengatakan kepada salah satu outlet berita bahwa malware Joker kemungkinan akan kembali lagi dalam beberapa bentuk. “Malware Joker sulit dideteksi, meskipun ada investasi Google dalam menambahkan perlindungan Play Store. Meskipun Google menghapus aplikasi jahat dari Play Store, kami sepenuhnya dapat beranggapan bahwa Joker bisa beradaptasi lagi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: BGR | Check Point Research

Banking Trojan Cerberus Disebar Melalui Google Play

July 8, 2020 by Winnie the Pooh

Aplikasi Android berbahaya telah ditemukan di toko aplikasi Google Play yang mendistribusikan trojan perbankan, Cerberus. Aplikasi ini telah memiliki 10.000 unduhan.

Peneliti keamanan mengatakan bahwa trojan ini disebar melalui aplikasi konverter mata uang Spanyol bernama “Calculadora de Moneda”, yang telah tersedia untuk pengguna Android di Spanyol sejak Maret. Setelah dieksekusi, malware memiliki kemampuan untuk mencuri kredensial rekening bank korban dan memotong langkah-langkah keamanan, termasuk otentikasi dua faktor (2FA).

Ondrej David, Peneliti keamanan Avast, mengatakan dalam analisis nya “Yang tidak umum adalah trojan perbankan berhasil menyelinap ke Google Play Store.”

Pada beberapa minggu pertama saat tersedia di Google Play, Aplikasi ini bertindak secara normal sebagai konverter yang sah dan tidak mencuri data apa pun atau menyebabkan kerusakan apa pun. Pada pertengahan Juni, versi yang lebih baru dari konverter mata uang dirilis termasuk apa yang oleh peneliti keamanan disebut sebagai “kode dropper,” tetapi masih belum diaktifkan. Kemudian, pada 1 Juli, aplikasi melakukan tahap kedua di mana ia menjadi dropper.

Cerberus memiliki berbagai macam fungsi mata-mata dan pencurian kredensial. Trojan ini dapat duduk di atas aplikasi perbankan yang ada dan menunggu pengguna untuk login ke rekening bank mereka. Kemudian, trojan membuat lapisan baru di layar login korban, dan mencuri kredensial perbankan mereka. Selain itu, trojan memiliki kemampuan untuk mengakses pesan teks korban, artinya trojan dapat melihat kode otentikasi dua faktor (2FA) yang dikirim melalui pesan.

Para peneliti mengatakan bahwa server C2 dan muatan yang terkait dengan kampanye itu aktif hingga Senin pekan ini. Kemudian, pada Senin malam, server C2 menghilang dan konverter mata uang di Google Play tidak lagi berisi malware trojan.

David mengatakan bahwa pengguna Android dapat melindungi diri mereka sendiri dengan memperhatikan izin yang diminta aplikasi dan memeriksa peringkat pengguna suatu aplikasi. “Jika Anda merasa bahwa aplikasi tersebut meminta lebih dari yang dijanjikan, tandai ini sebagai red flags,” katanya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Hati-Hati! Segera Hapus 25 Aplikasi Android Ini Yang Bisa Mencuri Login Facebook Anda

July 2, 2020 by Winnie the Pooh

Google telah menghapus 25 aplikasi berbahaya dari Google Play Store setelah perusahaan keamanan siber Perancis, Evina, menemukan malware peretas Facebook di dalam aplikasi-aplikasi tersebut. Sebelum dihapus, ke 25 aplikasi tersebut secara kolektif diunduh lebih dari 2,34 juta kali.

Daftar aplikasi mencakup alat senter, pedometer, editor gambar, dan lainnya, tetapi semua pada dasarnya adalah aplikasi yang sama. Memang tampilan dan fitur aplikasi berbeda-beda, namun mereka semua berisi kode jahat yang sama yang dibuat untuk mencuri informasi login Facebook Anda.

Saat dibuka, aplikasi jahat akan memeriksa apakah aplikasi Facebook terbuka di latar belakang, lalu menyelipkan tab browser dengan halaman login Facebook palsu ke jendela aplikasi latar belakang yang terbuka, yang membujuk Anda untuk mengisi nya. Halaman palsu akan menyalin login dan kata sandi Anda dan mengirimkannya ke sebuah server jarak jauh.

Aplikasi yang dihapus dari Google Play seharusnya secara otomatis terhapus dari perangkat apa pun yang memasangnya, tetapi ada baiknya memeriksa ulang — terutama jika Anda memiliki aplikasi sideload di perangkat Anda. Jika terpengaruh, Anda harus mengatur ulang kata sandi Facebook Anda dan memperbarui pengaturan keamanan Anda dengan mengaktifkan otentikasi dua faktor segera.

Memeriksa izin aplikasi sebelum memasangnya memang sangat penting untuk keamanan data, tetapi Anda tidak boleh lengah hanya karena izinnya tampak baik-baik saja. Karena aplikasi ini menggunakan halaman facebook palsu untuk melancarkan serangannya, bukan dengan melakukan sesuatu yang tidak diinginkan di balik layar.

Banyak aplikasi malware dan kampanye phishing mencoba mencuri info akun media sosial Anda dengan halaman login palsu. Strategi teraman adalah hanya login melalui aplikasi resmi platform media sosial.

Itu sebabnya memiliki lapisan keamanan ekstra di semua akun Anda sangatlah penting: karena jika kata sandi Anda dicuri, akan sulit bagi seseorang untuk menerobos masuk jika mereka tidak memiliki akses ke kode 2FA Anda.

Berikut adalah dafat Aplikasi nya:

Untuk berita selengkapnya dapat dibaca pada tautan di bawah ini:
Source: Life Hacker

Waspadalah — Jutaan Pengguna Android Harus Menghapus Aplikasi Video ‘Berbahaya’ ini Sekarang

June 5, 2020 by Winnie the Pooh

Penyebaran malware berbahaya dalam aplikasi Android populer terus menjadi perhatian serius. Google telah berjanji untuk membersihkan rumahnya, meluncurkan App Defense Alliance “untuk memastikan keamanan Play Store,” namun malware berbahaya masih lolos dari jaring keamanan, membuat ratusan juta pengguna dalam bahaya.

Dalam sebuah laporan baru dari Upstream, tim keamanan mengatakan bahwa pada kuartal pertama tahun ini, jumlah aplikasi Android yang diidentifikasi sebagai aplikasi “Berbahaya” terus meningkat dari tahun ke tahun, dengan transaksi penipuan naik 55%. Yang lebih mengkhawatirkan lagi, adanya aplikasi paling berbahaya yang terdeteksi adalah ancaman yang diketahui yang telah diperingatkan tahun lalu dan kini telah diinstal oleh lebih dari 40 juta pengguna Android.

Risiko yang lebih besar untuk pengguna Android adalah opsi untuk menginstal aplikasi dari luar Play Store, sehingga Google telah melarang pemasangan semacam itu untuk pengguna dengan profil tinggi dan berisiko tinggi. Dan itulah tepatnya aplikasi video ini — SnapTube, aplikasi yang telah dipasang oleh 40 juta pengguna, menemukan jalannya ke ponsel — aplikasi ini tidak ada di Play Store.

Aplikasi ini memungkinkan pengguna memilih dan mengunduh video dari Facebook dan YouTube — tetapi di latar belakang, Upstream memperingatkan, aplikasi itu menipu pengguna dan pengiklan untuk menghasilkan financial return. Upstream juga mengklaim bahwa SnapTube menghasilkan panggilan dan teks premium, tanpa diketahui penggunanya, yang kemungkinan menghasilkan hampir $100 juta.

Tahun lalu, Upstream memperingatkan bahwa SnapTube tidak lebih dari “layar untuk aktivitas latar belakang yang mencurigakan … Kami tidak hanya menemukan penipuan klik iklan latar belakang, tetapi juga banyak contoh pengguna yang mendaftar untuk layanan atau langganan digital premium.” Terlepas dari peringatan itu, Upstream sekarang mengatakan telah memblokir lebih dari 32 juta transaksi SnapTube dari Januari hingga Mei tahun ini.

SnapTube dikembangkan oleh Mobiuspace China, yang mengklaim “100 juta pengguna per bulan di seluruh dunia,” dan menyebut Tencent dan China Growth Capital di antara para investornya.

Oktober lalu, Mobiuspace mengatakan kepada Forbes bahwa masalah “terkait kolaborasi kami dengan pihak ketiga yang dikenal sebagai Mango SDK, yang memungkinkan praktik iklan penipuan yang bertentangan dengan keyakinan dan komitmen kami dengan pengguna kami.” Perusahaan berjanji telah mengambil “tindakan segera … dan merilis pembaruan tanpa Mango SDK pada versi berikutnya, serta mengirimkan pemberitahuan kepada semua pengguna untuk memperbarui ke versi terbaru melalui dorongan dan pemberitahuan dalam aplikasi.” Masalahnya bagi pengguna, adalah bahwa mereka perlu menghapus versi lama aplikasi dan menginstal versi baru yang aman.

Upstream mengakui bahwa adanya volume yang menurun dari masalah SnapTube menunjukkan versi aplikasi yang baru kemungkinan telah diperbaiki. Namun, ia masih berada di puncak grafik Upstream untuk transaksi penipuan, yang menunjukkan bahwa puluhan juta pengguna masih perlu menghapus aplikasi lama dan menginstal yang lebih baru. Dan mereka perlu melakukannya sekarang. Versi aplikasi yang lebih lama penuh dengan malware, ini merupakan ancaman serius.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Penipu Menyebarkan Trojan Seluler Yang Menyamar Sebagai Game Valorant

June 2, 2020 by Winnie the Pooh

Ringkasan

Dilansir dari Doctor Web, sebuah kampanye yang menggunakan video YouTube, lengkap dengan ulasan dan komentar pengguna palsu untuk mempromosikan game palsu, berupaya memasang Trojan di perangkat Android.

Jenis Ancaman

Malware, Android

Overview

Sebuah game bernama Valorant, yang saat ini sedang dalam pengembangan dan berjalan pada sistem Windows, digunakan sebagai umpan dalam kampanye yang menargetkan perangkat Android. Dalam kampanye, video YouTube digunakan untuk mempromosikan apa yang dianggap sebagai versi mobile dari game tersebut, tersedia untuk perangkat Android dan iOS. Video lengkap dengan ulasan dan komentar pengguna palsu.

Korban akan diarahkan ke situs web yang merupakan versi palsu dari situs Valorant yang sebenarnya. Dua tautan unduhan disediakan di situs palsu tersebut, satu untuk versi iOS, yang lainnya untuk versi Android. Jika tautan iOS diklik, pengguna akan diarahkan ke situs afiliasi. Jika tautan Android diklik, dan perangkat Android dikonfigurasikan untuk memungkinkan pemasangan aplikasi di luar Google Play, aplikasi palsu akan diinstal.

Ketika aplikasi dijalankan, ia meniru layar pemuatan game tetapi memberi tahu korban bahwa game harus ‘diunlock’ yang memerlukan pengunduhan dua aplikasi lainnya.

Jika proses infeksi selesai dan payload Android.FakeApp.176 diinstal, korban diarahkan ke situs afiliasi yang sama yang diarahkan untuk pengguna iOS. Berdasarkan parameter tertentu, perangkat Android yang terinfeksi diarahkan ke situs lain yang meminta korban menyelesaikan tugas, atau berpartisipasi dalam survei, untuk mendapatkan hadiah.

Sebelumnya, game lain seperti Call of Duty: Warzone, Fortnite, dan Apex Legends, telah digunakan sebagai umpan untuk mengirimkan muatan Android.FakeApp.176. Informasi lebih lanjut tersedia pada tautan di bagian Referensi.

IoC’s (Indicator of Compromises)

Daftar lengkap IoC dapat ditemukan di tautan Laporan Dr Web di bawah ini

Rekomendasi

1. Pastikan perangkat lunak anti-virus dan file terkait selalu diperbarui.
2. Cari tanda-tanda yang ada dari IoC di lingkungan Anda.
3. Pertimbangkan untuk memblokir dan atau mengatur deteksi untuk semua IOC berbasis URL dan IP.
4. Tetap jalankan aplikasi dan sistem operasi pada level patch yang dirilis saat ini.

Referensi

Dr Web News | Laporan Dr Web

Profil Mitron (Klon TikTok Yang Viral) Apa Saja Dapat Diretas dalam hitungan Detik

June 2, 2020 by Winnie the Pooh

Platform sosial video Mitron baru-baru ini menjadi berita utama ketika aplikasi Android ini dengan cepat memperoleh lebih dari 5 juta instalasi dan 250.000 peringkat bintang 5 hanya dalam 48 hari setelah dirilis di Google Play Store.

Dilaporkan oleh The Hacker News, Mitron yang berarti “Teman” dalam bahasa Hindi, sebenarnya bukan produk ‘Made in India’. Aplikasi viral ini juga berisi kerentanan yang sangat kritis dan belum diperbaiki yang dapat memungkinkan siapa saja untuk meretas akun pengguna apa pun tanpa memerlukan interaksi dari pengguna yang ditargetkan atau kata sandi mereka.

Ketidakamanan bahwa TikTok adalah aplikasi Cina dan diduga telah menyalahgunakan data penggunanya untuk pengawasan, sayangnya, mengubah jutaan orang untuk mendaftar ke aplikasi alternatif yang kurang dipercaya dan tidak aman secara membabi buta.

Masalah keamanan yang ditemukan oleh peneliti kerentanan India, Rahul Kankrale, berada dalam cara aplikasi menerapkan fitur ‘Login dengan Google’, yang meminta izin pengguna untuk mengakses informasi profil mereka melalui akun Google saat mendaftar tetapi, ironisnya, tidak menggunakannya atau membuat token rahasia untuk otentikasi.

Dengan kata lain, seseorang dapat masuk ke profil pengguna Mitron yang ditargetkan hanya dengan mengetahui ID unik penggunanya, yang merupakan informasi publik yang tersedia di sumber halaman, dan tanpa memasukkan kata sandi apa pun — seperti yang ditunjukkan dalam demonstrasi video yang dibagikan Rahul dengan The Hacker News dibawah ini;

Saat meninjau kode aplikasi untuk menemukan kerentanan, Rahul menemukan bahwa Mitron sebenarnya adalah sebuah versi re-package aplikasi TicTic yang dibuat oleh perusahaan pengembang perangkat lunak Pakistan Qboxus yang menjualnya sebagai klon yang siap digunakan untuk layanan seperti TikTok, musical.ly atau Dubsmash.

Singkatnya sangat disarankan untuk Anda tidak menginstal atau menggunakan aplikasi yang tidak terpercaya ini. Jika Anda termasuk di antara 5 juta yang telah membuat profil dengan aplikasi Mitron dan memberikannya akses ke profil Google Anda, segera cabut.

Selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.