Android

Serangan EarSpy Menguping Melaui Sensor Gerak Android

December 28, 2022 by Coffee Bean

Sebuah tim peneliti telah mengembangkan serangan penyadapan untuk perangkat Android yang dapat, dalam berbagai tingkatan, mengenali jenis kelamin dan identitas penelepon, dan bahkan membedakan percakapan pribadi.

Dinamakan EarSpy, serangan saluran samping bertujuan untuk mengeksplorasi kemungkinan baru penyadapan melalui penangkapan pembacaan data sensor gerak yang disebabkan oleh gema dari speaker telinga di perangkat seluler.

Sementara jenis serangan ini telah dieksplorasi di pengeras suara smartphone, speaker telinga dianggap terlalu lemah untuk menghasilkan getaran yang cukup untuk risiko penyadapan untuk mengubah serangan saluran samping menjadi serangan yang praktis.

Bukti kemajuan ini ditunjukkan di bawah, di mana earphone OnePlus 3T 2016 hampir tidak terdaftar di spektogram sementara speaker telinga stereo OnePlus 7T 2019 menghasilkan lebih banyak data secara signifikan.

ear speaker kiri ke kanan untuk Oneplus 3T, Oneplus 7T, Oneplus 7T loudspeaker (sumber : arxiv.org.org)

Percobaan dan hasil
Para peneliti menggunakan perangkat OnePlus 7T dan OnePlus 9 dalam percobaan mereka, bersama dengan berbagai rangkaian audio pra-rekaman yang diputar hanya melalui pengeras suara kedua perangkat.

Tim juga menggunakan aplikasi pihak ketiga ‘Physics Toolbox Sensor Suite’ untuk menangkap data akselerometer selama panggilan simulasi dan kemudian memasukkannya ke MATLAB untuk dianalisis dan mengekstrak fitur dari aliran audio.

Algoritme pembelajaran mesin (ML) dilatih menggunakan kumpulan data yang tersedia untuk mengenali konten ucapan, identitas penelepon, dan jenis kelamin.

Hasil pengujian pada OnePlus 7T (arxiv.org)

Keterbatasan dan solusi
Satu hal yang dapat mengurangi kemanjuran serangan EarSpy adalah volume yang dipilih pengguna untuk speaker telinga mereka. Volume yang lebih rendah dapat mencegah penyadapan melalui serangan saluran samping ini dan juga lebih nyaman untuk telinga.

Android 13 telah memperkenalkan batasan dalam mengumpulkan data sensor tanpa izin untuk pengambilan sampel kecepatan data di atas 200 Hz.

Para peneliti menyarankan agar produsen ponsel memastikan tekanan suara tetap stabil selama panggilan dan menempatkan sensor gerak pada posisi di mana getaran yang berasal dari dalam tidak memengaruhinya atau setidaknya memiliki dampak seminimal mungkin.

sumber : bleeping computer

Malware Android GodFather Menargetkan 400 Bank, Pertukaran Crypto

December 22, 2022 by Flamango

Malware perbankan Android bernama ‘Godfather’ telah menargetkan pengguna di 16 negara, mencoba mencuri kredensial akun untuk lebih dari 400 situs perbankan online dan pertukaran cryptocurrency.

Malware Godfather muncul di atas formulir masuk aplikasi perbankan dan crypto exchange ketika korban mencoba masuk ke situs, menipu pengguna untuk memasukkan kredensial mereka di halaman phishing HTML yang dibuat sebaik mungkin tanpa mencurigakan.

Analis Group-IB menemukan Trojan Godfather, yang dipercaya sebagai penerus Anubis, sebuah trojan perbankan yang kini tak lagi banyak digunakan karena ketidakmampuannya untuk melewati pertahanan Android yang lebih baru.

Menargetkan Bank di Seluruh Dunia
Group-IB telah menemukan distribusi malware yang terbatas pada aplikasi di Google Play Store, Namun belum berhasil menemukan saluran distribusi utama, sehingga metode infeksi awal sebagian besar tidak diketahui.

Sejumlah 215 aplikasi ditargetkan oleh Godfather adalah aplikasi perbankan, kemudian 110 adalah platform pertukaran cryptocurrency, dan 94 aplikasi dompet cryptocurrency.

Ikhtisar Penargetan Godfather (Group-IB)

Penulis Godfather diperkirakan berbahasa Rusia yang tinggal di wilayah CIS (Commonwealth of Independent States) karena jika trojan dikonfigurasi untuk memeriksa bahasa sistem dan diubah ke Rusia, Azerbaijan, Armenia, Belarusia, Kazakh, Kyrgyz, Moldovan, Uzbek, atau Tajik, ia menghentikan operasinya.

Godfather
Godfather meniru ‘Google Protect’ layaknya alat keamanan standar perangkat Android. Setelah memiliki hak Layanan Aksesibilitas yang disetujui korban, malware dapat mengeluarkan sendiri semua izin yang diperlukan untuk melakukan perilaku jahat.

Akses yang diperoleh adalah teks dan notifikasi SMS, perekaman layar, kontak, melakukan panggilan, menulis ke penyimpanan eksternal, membaca status perangkat, mencegah pengguna menghapus trojan, mengekstrak OTP Google Authenticator, memproses perintah, dan mencuri konten bidang PIN dan kata sandi.

Malware juga dapat menghasilkan notifikasi palsu dari aplikasi yang dipasang di perangkat korban untuk membawa korban ke halaman phishing.

Contoh overlay palsu yang menargetkan pengguna Turki (Group-IB)

Koneksi ke Anubis
Godfather kemungkinan merupakan proyek baru dari penulis Anubis atau malware baru yang dibuat oleh grup ancaman baru. Persamaannya terlihat dari metode menerima alamat C2, pemrosesan, dan implementasi perintah C2, modul pemalsuan web, modul proxy, dan modul tangkapan layar.

Secara keseluruhan, Godfather adalah trojan berbahaya yang menargetkan daftar ekstensif aplikasi dan pengguna Android dari seluruh dunia. Tetaplah unduh aplikasi hanya dari Google Play, perbarui perangkat, gunakan alat, pastikan Play Protect aktif, dan pertahankan jumlah aplikasi yang terpasang seminimal mungkin untuk melindungi diri dari ancaman.

Selengkapnya: BLEEPINGCOMPUTER

Bocoran baru mengungkapkan smartphone Lenovo ThinkPad

December 17, 2022 by Søren

Pernahkah Anda bertanya-tanya apa yang akan terjadi jika Lenovo mengambil laptop ThinkPad dan mengubahnya menjadi ponsel? Kami juga belum tahu, tapi sekarang kami tahu berkat bocoran yang mengungkap Motorola ThinkPhone dan spesifikasinya.

Seperti yang Anda ketahui, Motorola adalah bagian dari Lenovo. Perusahaan yang terkenal dengan laptopnya mengakuisisi Motorola pada tahun 2014, tetapi kedua merek tersebut sebagian besar tetap terpisah satu sama lain. Tapi sepertinya status quo itu akan berubah dalam waktu dekat.

Menurut bocoran yang diperoleh The Tech Outlook, Motorola mungkin sedang bersiap untuk meluncurkan smartphone yang bermerek serupa dengan ThinkPad bernama ThinkPhone. Berdasarkan gambar tersebut, ThinkPhone tidak hanya berbagi merek yang serupa, tetapi logonya juga menggunakan font yang sama dengan ThinkPad.

Kembali pada bulan Oktober, kami melaporkan rumor tentang handset yang memiliki lencana ThinkPhone di bagian belakang. Kebocoran ini tampaknya adalah ponsel yang dimaksud.

Ponsel yang tampaknya berorientasi bisnis ini dapat berukuran 158,7 x 74,4 x 8,3mm, memiliki baterai 5.000 mAh dengan pengisian cepat 68W, memiliki layar 6,6 inci pOLED 144Hz, dan memiliki bodi serat karbon palsu. Bocoran itu juga menunjukkan ponsel bisa memiliki pengaturan tiga kamera dengan kamera utama 50MP, ultrawide 13MP, dan sensor kedalaman 2MP. Bagian depan dilaporkan memiliki penembak depan 32MP dengan fokus otomatis.

Sayangnya, salah satu detail yang kurang dari bocoran itu adalah penyebutan ketersediaan. Tidak diketahui di mana atau kapan seseorang bisa mendapatkan ponsel ini. Namun, bocoran tersebut menunjukkan bahwa ponsel tersebut dapat diluncurkan pada tahun 2023.

Selengkapnya: Android Authority

Yang perlu Anda ketahui tentang kebocoran sertifikat platform Android

December 10, 2022 by Søren

Google mengungkapkan masalah serius yang sebagian besar memengaruhi ponsel Samsung menjelang akhir tahun 2022. Beberapa sertifikat platform dari Samsung jatuh ke tangan aktor jahat, yang memungkinkan mereka membuat malware dengan izin yang lebih tinggi, berpotensi memungkinkan peretas membajak ponsel dengan memuat perangkat lunak yang dirusak pada ponsel tersebut .

Hal ini tampaknya memengaruhi semua ponsel dari pabrikan tertentu, terlepas dari apakah Anda memiliki Android 13. Inilah semua yang kami ketahui tentang kerentanan dan apa yang dapat Anda lakukan untuk melindungi diri dan ponsel Anda.

Produsen menggunakan sertifikat platform atau vendor untuk menandatangani perangkat lunak dan versi Android serta memverifikasi bahwa keduanya sah. Aplikasi dengan tanda tangan ini dapat dipercaya dengan izin yang lebih tinggi untuk berinteraksi dengan sistem Android dan data pengguna yang mendasarinya.

Biasanya, ini hanya memungkinkan beberapa aplikasi sistem penting mengakses bagian-bagian ponsel Anda ini. Namun, ketika aktor jahat mendapatkan sertifikat ini, mereka dapat menandatangani malware dengannya dan memberikannya akses tinggi yang sama seperti aplikasi yang sah.

Malware ini kemudian dapat didistribusikan ke ponsel Android yang akan menginstalnya dan memberikan semua izin yang diminta tanpa pertanyaan lebih lanjut atau interaksi pengguna. Itu membuat vektor serangan ini sangat berbahaya. Malware Android biasanya harus meyakinkan pengguna untuk memberikannya izin yang lebih tinggi sebelum dapat mendatangkan malapetaka pada perangkat.

Selengkapnya: Android Police

Peneliti Mengungkap Layanan Darknet yang Mengizinkan Peretas Meng-Trojan Aplikasi Android Resmi

December 10, 2022 by Søren

Para peneliti telah menjelaskan kampanye malware hybrid baru yang menargetkan sistem operasi Android dan Windows dalam upaya untuk memperluas kumpulan korbannya.

Serangan tersebut memerlukan penggunaan malware yang berbeda seperti ERMAC, Erbium, Aurora, dan Laplas, menurut laporan ThreatFabric yang dibagikan dengan The Hacker News.

“Kampanye ini mengakibatkan ribuan korban,” kata perusahaan cybersecurity Belanda, menambahkan, “pencuri Erbium berhasil mengekstraksi data dari lebih dari 1.300 korban.”

Infeksi ERMAC dimulai dengan situs web penipuan yang mengklaim menawarkan perangkat lunak otorisasi Wi-Fi untuk Android dan Windows yang, ketika dipasang, dilengkapi dengan fitur untuk mencuri seed phrase dari dompet kripto dan data sensitif lainnya.

ThreatFabric mengatakan juga menemukan sejumlah aplikasi berbahaya yang merupakan versi trojan dari aplikasi yang sah seperti Instagram, dengan operator menggunakannya sebagai dropper untuk mengirimkan muatan berbahaya yang disamarkan.

Aplikasi nakal, yang dijuluki Zombinder, dikatakan telah dikembangkan menggunakan layanan pengikatan APK yang diiklankan di web gelap oleh aktor ancaman terkenal sejak Maret 2022.

Aplikasi zombie semacam itu juga telah digunakan untuk mendistribusikan trojan perbankan Android seperti SOVA dan Xenomorph yang menargetkan pelanggan antara lain di Spanyol, Portugal, dan Kanada.

Menariknya, opsi pengunduhan untuk Windows di situs web jebakan yang mendistribusikan ERMAC dirancang untuk menyebarkan pencuri informasi Erbium dan Aurora pada sistem yang disusupi.

Erbium, yang merupakan malware-as-a-service (MaaS) berlisensi untuk $1.000 per tahun, tidak hanya mencuri kata sandi dan informasi kartu kredit, tetapi juga telah diamati bertindak sebagai saluran untuk menjatuhkan clipper Laplas yang digunakan untuk membajak transaksi crypto .

“Kehadiran trojan yang begitu beragam mungkin juga menunjukkan bahwa laman landas berbahaya digunakan oleh banyak pelaku dan diberikan kepada mereka sebagai bagian dari layanan distribusi pihak ketiga,” para peneliti berteori.

Selengkapnya: The Hacker News

Kunci penandatanganan aplikasi Android Samsung telah bocor, digunakan untuk menandatangani malware

December 4, 2022 by Søren

Łukasz Siewierski, anggota Tim Keamanan Android Google, memposting di pelacak masalah Inisiatif Kerentanan Mitra Android (AVPI) yang merinci kunci sertifikat platform yang bocor yang secara aktif digunakan untuk menandatangani malware.

Posting ini hanyalah daftar kunci, tetapi menjalankan masing-masing melalui APKMirror atau situs VirusTotal Google akan memberi nama pada beberapa kunci yang disusupi: Samsung, LG, dan Mediatek adalah pemukul berat pada daftar kunci yang bocor, bersama dengan beberapa OEM yang lebih kecil seperti Revoview dan Szroco, yang membuat tablet Onn Walmart.

Perusahaan-perusahaan ini entah bagaimana kunci penandatanganan mereka bocor ke pihak luar, dan sekarang Anda tidak dapat mempercayai bahwa aplikasi yang mengklaim berasal dari perusahaan-perusahaan ini benar-benar berasal dari mereka. Lebih buruk lagi, “kunci sertifikat platform” yang hilang memiliki beberapa izin serius.

Samsung bukan hanya OEM Android terbesar yang mengalami kebocoran kunci penandatanganan, tetapi juga pengguna terbesar dari kunci yang bocor. Tautan APKMirror sebelumnya menunjukkan betapa buruknya itu. Kunci Samsung yang disusupi digunakan untuk semuanya: Samsung Pay, Bixby, Samsung Account, aplikasi ponsel, dan sejuta hal lain yang dapat Anda temukan di 101 halaman hasil untuk kunci tersebut. Dimungkinkan untuk membuat pembaruan berbahaya untuk salah satu dari aplikasi ini, dan Android akan dengan senang hati menginstalnya di atas aplikasi sebenarnya. Beberapa pembaruan mulai hari ini, menandakan Samsung masih belum mengubah kuncinya.

Selengkapnya: ars TECHNICA

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

November 30, 2022 by Coffee Bean

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Cyber-Mercenaries Menargetkan Pengguna Android dengan Aplikasi VPN Palsu

November 27, 2022 by Søren

Grup peretasan bayaran mendistribusikan aplikasi berbahaya melalui situs web SecureVPN palsu yang memungkinkan aplikasi Android diunduh dari Google Play, kata para peneliti di Eset.

Versi Trojan dari dua aplikasi sah yang digunakan oleh penyerang

Dijuluki “Bahamut,” peneliti dari perusahaan keamanan siber menemukan setidaknya delapan versi spyware. Aplikasi tersebut digunakan sebagai bagian dari kampanye jahat yang menggunakan versi Trojan dari dua aplikasi yang sah – SoftVPN dan OpenVPN. Dalam kedua kasus, aplikasi dikemas ulang dengan spyware Bahamut.

“Tujuan utama dari modifikasi aplikasi adalah untuk mengekstrak data pengguna yang sensitif dan secara aktif memata-matai aplikasi perpesanan korban,” kata para peneliti.

Eksfiltrasi data sensitif dilakukan melalui keylogging, menyalahgunakan layanan aksesibilitas Android. Itu juga dapat secara aktif memata-matai pesan obrolan yang dipertukarkan melalui aplikasi perpesanan populer termasuk Signal, Viber, WhatsApp, Telegram, dan Facebook Messenger.

Vektor serangan awalnya yaitu pesan spearphishing dan aplikasi palsu, yang tujuannya adalah untuk mencuri informasi sensitif dari korbannya.

Aplikasi jahat dikirimkan melalui situs web thiscurevpn[.]com, spoof dari situs securevpn yang sebenarnya tetapi tidak memiliki konten atau gaya layanan SecureVPN yang sah (di domain securevpn.com).

Thiscurevpn[.]com terdaftar pada 27-01-2020, tetapi tanggal distribusi awal aplikasi SecureVPN palsu tidak diketahui.

Sejak distribusi spyware Bahamut melalui situs web dimulai, delapan versi spyware telah tersedia untuk diunduh.

SecureVPN_104.apk;
SecureVPN_105.apk;
SecureVPN_106.apk;
SecureVPN_107.apk;
SecureVPN_108.apk;
SecureVPN_109.apk;
SecureVPN_1010.apk;
SecureVPN_1010b.apk.

Selengkapnya: Data Breach Today

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Android

Cookies Settings