Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Android

Android

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer

Google Didenda $40 juta+ Karena Menyesatkan Pengaturan Pelacakan Lokasi di Android

by

Google telah dikenai sanksi A $ 60 juta (sekitar $ 40 juta +) di Australia atas pengaturan Android yang telah diterapkannya, sejak sekitar lima tahun, yang ditemukan – dalam putusan pengadilan 2021 – telah menyesatkan konsumen tentang pengumpulan data lokasinya.

Komisi Persaingan & Konsumen Australia (ACCC) memulai proses hukum terhadap Google dan anak perusahaannya di Australia pada Oktober 2019, membawa raksasa teknologi itu ke pengadilan karena membuat pernyataan menyesatkan kepada konsumen tentang pengumpulan dan penggunaan data lokasi pribadi mereka di ponsel Android, antara Januari 2017 dan Desember 2018.

Pada April 2021, pengadilan menemukan Google telah melanggar Undang-Undang Konsumen Australia ketika menyatakan kepada beberapa pengguna Android bahwa pengaturan “Riwayat Lokasi” adalah satu-satunya pengaturan akun Google yang memengaruhi apakah itu mengumpulkan, menyimpan, dan menggunakan data pengenal pribadi tentang lokasi mereka.

Sebenarnya, pengaturan lain — yang disebut ‘Aktivitas Web & Aplikasi’ — juga memungkinkan Google untuk mengambil data lokasi pengguna Android dan ini diaktifkan secara default, seperti yang dicatat oleh ACCC dalam siaran pers hari ini. Alias, pola gelap klasik.

Regulator memperkirakan bahwa pengguna sekitar 1,3 juta akun Google di Australia mungkin telah melihat layar yang ditemukan oleh Pengadilan telah melanggar Undang-Undang Konsumen.

“Hukuman signifikan yang dijatuhkan oleh Pengadilan hari ini mengirimkan pesan yang kuat ke platform digital dan bisnis lain, besar dan kecil, bahwa mereka tidak boleh menyesatkan konsumen tentang bagaimana data mereka dikumpulkan dan digunakan,” kata ketua ACCC, Gina Cass-Gottlieb, dalam sebuah pernyataan.

“Google, salah satu perusahaan terbesar di dunia, dapat menyimpan data lokasi yang dikumpulkan melalui pengaturan ‘Aktivitas Web & Aplikasi’ dan data yang disimpan tersebut dapat digunakan oleh Google untuk menargetkan iklan ke beberapa konsumen, bahkan jika konsumen tersebut memiliki ‘ Setelan Riwayat Lokasi dimatikan.”

“Data lokasi pribadi sensitif dan penting bagi beberapa konsumen, dan beberapa pengguna yang melihat representasi mungkin telah membuat pilihan berbeda tentang pengumpulan, penyimpanan, dan penggunaan data lokasi mereka jika representasi yang menyesatkan tidak dibuat oleh Google,” dia ditambahkan.

Menurut ACCC, Google mengambil langkah-langkah untuk memperbaiki perilaku yang melanggar pada 20 Desember 2018, yang berarti konsumen di negara tersebut tidak lagi diperlihatkan layar yang menyesatkan.

Pada saat putusan pengadilan tahun lalu, Google mengatakan tidak setuju dengan temuan tersebut dan sedang mempertimbangkan banding. Tapi, dalam acara tersebut, ia memutuskan untuk mengambil benjolan.

(Ini tidak seberat jika pelanggaran terjadi baru-baru ini: ACCC mencatat bahwa sebagian besar tindakan yang dikenai sanksi terjadi sebelum September 2018 sebelum hukuman maksimum untuk pelanggaran Undang-Undang Konsumen ditingkatkan secara substansial — dari $1,1 juta per pelanggaran hingga — sejak saat itu — lebih tinggi dari $10 juta, 3x nilai manfaat yang diperoleh atau, jika nilainya tidak dapat ditentukan, 10% dari omset.)

Pengadilan juga telah memerintahkan Google untuk memastikan kebijakannya mencakup komitmen terhadap kepatuhan, dan persyaratan bahwa Google melatih staf tertentu tentang Hukum Konsumen negara tersebut, serta membayar kontribusi untuk biaya ACCC.

Google dihubungi untuk mengomentari sanksi tersebut. Seorang juru bicara perusahaan mengirimi kami pernyataan ini:

Kami dapat mengonfirmasi bahwa kami telah setuju untuk menyelesaikan masalah tentang perilaku historis dari 2017-2018. Kami telah banyak berinvestasi dalam membuat informasi lokasi mudah dikelola dan mudah dipahami dengan alat pertama di industri seperti kontrol hapus otomatis, sekaligus meminimalkan jumlah data yang disimpan secara signifikan. Seperti yang telah kami tunjukkan, kami berkomitmen untuk membuat pembaruan berkelanjutan yang memberikan kontrol dan transparansi kepada pengguna, sekaligus menyediakan produk yang paling bermanfaat.

Selengkapnya: TechCrunch

Facebook ads mempromosikan adware Android dengan 7 juta pemasangan di Google Play

by

Beberapa aplikasi adware dipromosikan secara agresif di Facebook sebagai pembersih dan pengoptimal sistem untuk perangkat Android, aplikasi tersebut terhitung sampai jutaan pemasangan di Google Play store.

Untuk menghindari penghapusan, aplikasi bersembunyi di perangkat korban dengan terus mengubah ikon dan nama, menyamar sebagai Pengaturan atau Play Store itu sendiri.

Ikon dan nama pengubah aplikasi yang diinstal (McAfee)

Aplikasi adware menyalahgunakan komponen Android Penyedia Kontak, yang memungkinkan mereka mentransfer data antara perangkat dan layanan online.

Subsistem dipanggil setiap kali aplikasi baru diinstal, sehingga adware mungkin menggunakannya untuk memulai proses penayangan iklan. Bagi pengguna, ini mungkin terlihat seperti iklan didorong oleh aplikasi sah yang mereka instal.

Para peneliti di McAfee menemukan aplikasi adware. Mereka mencatat bahwa pengguna tidak perlu meluncurkannya setelah penginstalan untuk melihat iklan karena adware memulai sendiri secara otomatis tanpa interaksi apa pun.

Tindakan pertama dari aplikasi yang mengganggu ini adalah membuat layanan permanen untuk menampilkan iklan. Jika proses “dimatikan” (dihentikan), ia segera diluncurkan kembali.

Layanan berbahaya segera diluncurkan kembali (McAfee)

Pengguna yakin untuk mempercayai aplikasi adware karena mereka melihat tautan Play Store di Facebook.

Promosi Facebook untuk aplikasi yang lebih bersih (McAfee)

Hal ini mengakibatkan jumlah unduhan yang luar biasa tinggi untuk jenis aplikasi tertentu, seperti yang ditunjukkan dalam daftar di bawah ini:

  • Junk Cleaner, cn.junk.clean.plp, 1 juta unduhan
  • EasyCleaner, com.easy.clean.ipz, 100 ribu unduhan
  • Power Doctor, com.power.doctor.mnb, 500 ribu unduhan
  • Super Clean, com.super.clean.zaz, 500 ribu unduhan
  • Full Clean -Clean Cache, org.stemp.fll.clean, 1 juta unduhan
  • Fingertip Cleaner, com.fingertip.clean.cvb, 500 ribu unduhan
  • Quick Cleaner, org.qck.cle.oyo, 1 juta unduhan
  • Keep Clean, org.clean.sys.lunch, 1 juta unduhan
  • Windy Clean, in.phone.clean.www, 500 ribu unduhan
  • Carpet Clean, og.crp.cln.zda, 100 ribu unduhan
  • Cool Clean, syn.clean.cool.zbc, 500 ribu unduhan
  • Strong Clean, in.memory.sys.clean, 500 ribu unduhan
  • Meteor Clean, org.ssl.wind.clean, 100 ribu unduhan

Sebagian besar pengguna yang terpengaruh berbasis di Korea Selatan, Jepang, dan Brasil, tetapi sayangnya adware telah menjangkau pengguna di seluruh dunia.

Aplikasi adware tidak lagi tersedia di Play Store. Namun, pengguna yang menginstalnya harus menghapusnya secara manual dari perangkat.

Pembersih dan pengoptimal sistem adalah kategori perangkat lunak yang populer meskipun manfaatnya rendah. Penjahat dunia maya tahu bahwa sejumlah besar pengguna akan mencoba solusi semacam itu untuk memperpanjang umur perangkat mereka dan sering kali menyamar sebagai aplikasi berbahaya.

Sumber: Bleeping Computer

Aplikasi malware Android baru dipasang 10 juta kali dari Google Play

by

Kumpulan baru aplikasi Android berbahaya yang diisi dengan adware dan malware ditemukan di Google Play Store yang telah diinstal hampir 10 juta kali di perangkat seluler.

Aplikasi ini berfungsi sebagai alat pengeditan gambar, keyboard virtual, pengoptimal sistem, pengubah wallpaper, dan banyak lagi. Namun, fungsi dasarnya adalah untuk mendorong iklan yang mengganggu, membuat pengguna berlangganan layanan premium, dan mencuri akun media sosial korban.

Google telah menghapus sebagian besar aplikasi yang disajikan, tetapi pada saat penulisan ini, tiga aplikasi tetap tersedia untuk diunduh dan dipasang melalui Play Store.

Selain itu, jika Anda menginstal salah satu aplikasi ini sebelum dihapus dari Play Store, Anda masih perlu mencopot pemasangannya dari perangkat Anda secara manual dan menjalankan pemindaian AV untuk membersihkan sisa-sisanya.

Aplikasi adware yang ditemukan oleh Dr. Web adalah modifikasi dari keluarga yang ada yang pertama kali muncul di Google Play Store pada Mei 2022.

Setelah penginstalan, aplikasi meminta izin untuk melapisi jendela di atas aplikasi apa pun dan dapat menambahkan dirinya sendiri ke daftar pengecualian penghemat baterai sehingga mereka dapat terus berjalan di latar belakang saat korban menutup aplikasi.

Aplikasi berbahaya yang meminta pengecualian dari penghemat baterai (Dr. Web)

Selain itu, mereka menyembunyikan ikon mereka dari laci aplikasi atau menggantinya dengan sesuatu yang menyerupai komponen sistem inti, seperti “SIM Toolkit”.

Mencoba menipu pengguna dengan penggantian ikon (Dr. Web)

Daftar lengkap aplikasi adware dapat ditemukan di bagian bawah artikel, tetapi satu contoh penting yang masih ada di Play Store adalah ‘Keyboard Tema Neon,’ yang memiliki lebih dari satu juta unduhan meskipun skor bintang 1,8 dan banyak ulasan negatif.

Salah satu aplikasi penyembunyi adware

Kategori kedua dari aplikasi berbahaya yang ditemukan di Play Store adalah aplikasi Joker, yang dikenal karena menimbulkan biaya penipuan pada nomor ponsel korban dengan berlangganan layanan premium.

Dua dari aplikasi yang terdaftar, ‘Water Reminder’ dan ‘Yoga – For Beginner to Advanced,’ masih ada di Play Store, masing-masing memiliki 100.000 dan 50.000 unduhan.

Dua dari aplikasi trojan masih ada di Play Store

Keduanya menyediakan fungsionalitas yang dijanjikan, tetapi mereka juga melakukan tindakan jahat di latar belakang, berinteraksi dengan elemen tak terlihat atau di luar fokus yang dimuat melalui WebView dan membebani pengguna dengan biaya.

Terakhir, Dr. Web menyoroti dua pencuri akun Facebook yang didistribusikan dalam alat pengeditan gambar yang menerapkan filter kartun di atas gambar biasa.

Aplikasi ini adalah ‘YouToon – AI Cartoon Effect’ dan ‘Pista – Cartoon Photo Effect,’ yang telah diunduh secara kolektif lebih dari 1,5 juta kali melalui Play Store.

Editor gambar yang sangat populer yang sebenarnya adalah pencuri Facebook (Dr. Web)

Malware Android akan selalu menemukan cara untuk menyusup ke Google Play Store, dan terkadang aplikasi dapat bertahan di sana selama beberapa bulan, jadi Anda tidak boleh begitu saja memercayai aplikasi apa pun yang dapat secara membabi buta mempercayai tidak ada aplikasi.

Karena itu, sangat penting untuk memeriksa ulasan dan peringkat pengguna, mengunjungi situs web pengembang, membaca kebijakan privasi, dan memperhatikan izin yang diminta selama instalasi.

Terakhir, pastikan Play Protect aktif di perangkat Anda dan pantau data internet dan konsumsi baterai Anda secara teratur untuk mengidentifikasi proses mencurigakan yang berjalan di latar belakang.

Seperti yang dinyatakan sebelumnya, pengguna juga harus memeriksa untuk melihat apakah mereka memiliki salah satu dari aplikasi adware Android berikut yang diinstal pada perangkat mereka, dan jika ditemukan, hapus secara manual dan pindai virus.

Daftar aplikasi malware lainnya

Selengkapnya : Bleeping Computer

Google meningkatkan privasi Android dengan dukungan untuk DNS-over-HTTP/3

by

Google telah menambahkan dukungan untuk protokol DNS-over-HTTP/3 (DoH3) di Android 11 dan yang lebih baru untuk meningkatkan privasi kueri DNS sambil memberikan kinerja yang lebih baik.

HTTP/3 adalah versi utama ketiga dari Hypertext Transfer Protocol, yang mengandalkan QUIC, protokol transport multipleks yang dibangun di atas UDP, daripada TCP seperti versi sebelumnya.

Protokol baru memperbaiki masalah “pemblokiran head-of-line,” yang memperlambat transaksi data internet ketika sebuah paket hilang atau disusun ulang, sesuatu yang cukup umum ketika berpindah-pindah di ponsel dan sering berpindah koneksi.

Perbandingan tumpukan protokol (Wikipedia)

Android sebelumnya mendukung DNS-over-TLS (DoT) untuk versi 9 dan yang lebih baru untuk meningkatkan privasi kueri DNS, tetapi sistem ini pasti memperlambat permintaan DNS karena overhead enkripsi.

Selain itu, DoT memerlukan negosiasi ulang lengkap dari koneksi baru saat mengubah jaringan. Sebaliknya, QUIC dapat melanjutkan koneksi yang ditangguhkan dalam satu RTT (waktu yang dibutuhkan sinyal untuk mencapai tujuan).

Dengan DoH3, banyak beban kinerja DoT terangkat, dan menurut pengukuran Google, mencapai peningkatan kinerja 24% untuk waktu kueri rata-rata. Dalam beberapa kasus, Google telah melihat peningkatan kinerja hingga 44%.

Pengukuran latensi kueri (Google)

Selain itu, DoH3 dapat membantu jaringan yang tidak dapat diandalkan, bahkan mengungguli DNS tradisional berkat mekanisme kontrol aliran proaktif yang segera menghasilkan peringatan kegagalan pengiriman paket alih-alih menunggu waktu habis.

DNS-over-HTTPS sudah didukung secara luas oleh banyak penyedia DNS untuk memberikan peningkatan privasi saat melakukan permintaan DNS.

Dengan Google yang mendukung DNS-over-HTTP/3 Android dan DNS-over-QUIC sekarang sebagai standar yang diusulkan, kemungkinan besar kami akan segera melihat peningkatan adopsi oleh penyedia DNS.

Namun, sebagai bagian dari peluncuran fitur ini, perangkat Android akan menggunakan Cloudflare DNS dan Google Public DNS, yang sudah mendukung DNS-over-QUIC.

Di masa mendatang, Google berencana menambahkan dukungan untuk penyedia DoH3 lainnya melalui penggunaan Discovery of Designated Resolver (DDR), yang secara otomatis memilih penyedia terbaik untuk konfigurasi spesifik Anda.

Keunggulan lain dari DoH3 adalah penggunaan Rust dalam implementasinya, yang menghasilkan sistem lean yang terdiri dari 1.640 baris kode yang menggunakan thread runtime tunggal, bukan empat DoT.

Hasilnya adalah sistem tingkat rendah yang berkinerja dengan sedikit ketergantungan, ringan, dan menggunakan bahasa yang aman untuk memori yang mengurangi jumlah bug yang dapat dimanfaatkan penyerang untuk menyalahgunakannya.

Pengguna akhir tidak perlu melakukan tindakan apa pun untuk mengaktifkan fitur baru, karena Android akan menangani bagian ini secara otomatis.

Sumber: Bleeping Computer

Malware Android baru di Google Play dipasang 3 juta kali

by

Keluarga malware Android baru di Google Play Store yang secara diam-diam membuat pengguna berlangganan layanan premium telah diunduh lebih dari 3.000.000 kali.

Malware bernama ‘Autolycos’, ditemukan oleh peneliti keamanan Evina, Maxime Ingrao, berada di setidaknya delapan aplikasi Android, dua di antaranya masih tersedia di Google Play Store pada saat penulisan ini.

Dua aplikasi yang masih tersedia diberi nama ‘Funny Camera’ oleh KellyTech, yang memiliki lebih dari 500.000 pemasangan, dan ‘Razer Keyboard & Tema’ oleh rxcheldiolola, yang menghitung lebih dari 50.000 pemasangan di Play Store.

Aplikasi Kamera Lucu di Play Store

Enam aplikasi yang tersisa telah dihapus dari Google Play Store, tetapi mereka yang masih menginstalnya berisiko dikenai biaya berlangganan yang mahal oleh aktivitas malware.

  • Vlog Star Video Editor (com.vlog.star.video.editor) – 1 juta unduhan
  • Creative 3D Launcher (app.launcher.creative3d) – 1 juta unduhan
  • Wow Beauty Camera (com.wowbeauty.camera) – 100.000 unduhan
  • Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100.000 unduhan
  • Freeglow Camera 1.0.0 (com.glow.camera.open) – 5.000 unduhan
  • Coco Camera v1.1 (com.toomore.cool.camera) –1.000 unduhan

Selama diskusi dengan Ingrao, peneliti mengatakan bahwa ia menemukan aplikasi pada Juni 2021 dan melaporkan temuannya ke Google pada saat itu.

Meskipun Google mengakui menerima laporan itu, butuh waktu enam bulan bagi perusahaan untuk menghapus enam set, sementara dua aplikasi berbahaya tetap ada di Play Store hingga hari ini.

Setelah sekian lama berlalu sejak pelaporan awal, peneliti mengungkapkan temuannya kepada publik.

Autolycos adalah malware yang melakukan perilaku berbahaya diam-diam seperti mengeksekusi URL pada browser jarak jauh dan kemudian menyertakan hasilnya dalam permintaan HTTP alih-alih menggunakan Webview.

Perilaku ini dimaksudkan untuk membuat tindakannya kurang terlihat dan dengan demikian tidak terdeteksi oleh pengguna perangkat yang disusupi.

Dalam banyak kasus, aplikasi jahat meminta izin untuk membaca konten SMS saat dipasang di perangkat, memungkinkan aplikasi mengakses pesan teks SMS korban.

Untuk mempromosikan aplikasi kepada pengguna baru, operator Autolycos membuat banyak kampanye iklan di media sosial. Untuk Razer Keyboard & Theme saja, Ingrao menghitung 74 kampanye iklan di Facebook.

Selain itu, sementara beberapa aplikasi berbahaya mengalami ulasan negatif yang tak terhindarkan di Play Store, aplikasi dengan unduhan lebih sedikit mempertahankan peringkat pengguna yang baik karena ulasan bot.

Agar tetap aman dari ancaman ini, pengguna Android harus memantau data internet latar belakang dan konsumsi baterai, tetap mengaktifkan Play Protect, dan mencoba meminimalkan jumlah aplikasi yang mereka instal di ponsel cerdas mereka.

Pembaruan 13/7/2022: Google telah menghapus dua aplikasi adware yang tersisa dari Play Store segera setelah publikasi posting ini.

Sumber: Bleeping Computer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

by

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica