Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS / Android

Android

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer

Microsoft menemukan bug parah di aplikasi Android dari penyedia seluler besar

by

Peneliti keamanan Microsoft telah menemukan kerentanan tingkat keparahan yang tinggi dalam kerangka kerja yang digunakan oleh aplikasi Android dari beberapa penyedia layanan seluler internasional yang besar.

Para peneliti menemukan kerentanan ini (dilacak sebagai CVE-2021-42598, CVE-2021-42599, CVE-2021-42600, dan CVE-2021-42601) dalam kerangka kerja seluler yang dimiliki oleh Sistem mce yang memaparkan pengguna pada serangan injeksi perintah dan eskalasi hak istimewa .

Aplikasi rentan memiliki jutaan unduhan di Google Play Store dan sudah diinstal sebelumnya sebagai aplikasi sistem pada perangkat yang dibeli dari operator telekomunikasi yang terpengaruh, termasuk AT&T, TELUS, Rogers Communications, Bell Canada, dan Freedom Mobile.

“Semua aplikasi tersedia di Google Play Store yang melalui pemeriksaan keamanan otomatis Google Play Protect, tetapi pemeriksaan ini sebelumnya tidak memindai jenis masalah ini.

“Seperti halnya dengan banyak aplikasi pra-instal atau default yang dimiliki sebagian besar perangkat Android akhir-akhir ini, beberapa aplikasi yang terpengaruh tidak dapat sepenuhnya dihapus atau dinonaktifkan tanpa mendapatkan akses root ke perangkat.”

Sementara vendor yang dihubungi Microsoft telah memperbarui aplikasi mereka untuk mengatasi bug sebelum kelemahan keamanan diungkapkan hari ini untuk melindungi pelanggan mereka dari serangan, aplikasi dari perusahaan telekomunikasi lain juga menggunakan kerangka kerja kereta yang sama.

“Beberapa penyedia layanan seluler lainnya ditemukan menggunakan kerangka kerja rentan dengan aplikasi masing-masing, menunjukkan bahwa mungkin ada penyedia tambahan yang masih belum ditemukan yang mungkin terpengaruh,” tambah para peneliti.

Microsoft menambahkan bahwa beberapa perangkat Android mungkin juga terkena serangan yang mencoba menyalahgunakan kelemahan ini jika aplikasi Android (dengan nama paket com.mce.mceiotraceagent) diinstal “oleh beberapa bengkel ponsel.”

Mereka yang menemukan aplikasi ini terinstal di perangkat mereka disarankan untuk segera menghapusnya dari ponsel mereka untuk menghapus vektor serangan.

“Kerentanan, yang memengaruhi aplikasi dengan jutaan unduhan, telah diperbaiki oleh semua pihak yang terlibat,” kata para peneliti.

“Ditambah dengan hak istimewa sistem ekstensif yang dimiliki aplikasi pra-instal, kerentanan ini bisa menjadi vektor serangan bagi penyerang untuk mengakses konfigurasi sistem dan informasi sensitif.”

Sumber: Bleeping Computer

Tagged With:

Spyware ‘Predator’ Biarkan Peretas Pemerintah Membobol Chrome dan Android

by

Sebuah perusahaan pengawasan swasta yang mencurigakan menjual akses kelemahan keamanan yang kuat di Chrome dan Android tahun lalu kepada peretas yang berafiliasi dengan pemerintah, Google mengungkapkan Senin.

Cytrox, sebuah perusahaan rahasia yang berbasis di Makedonia Utara, diduga menjual akses empat kelemahan keamanan zero-day di browser Chrome serta satu di sistem operasi Android. Kliennya adalah “aktor ancaman” yang terkait dengan pemerintah di beberapa negara asing yang menggunakan eksploitasi untuk melakukan kampanye peretasan dengan spyware invasif Cytrox “Predator.

“Kami menilai dengan keyakinan tinggi bahwa eksploitasi ini dikemas oleh satu perusahaan pengawasan komersial, Cytrox, dan dijual ke berbagai aktor yang didukung pemerintah yang menggunakannya setidaknya dalam tiga kampanye yang dibahas di bawah ini,” peneliti dengan Google’s Threat Analysis Group (TAG) dijelaskan dalam posting blog.

Cytrox juga dikatakan telah memberi kliennya akses ke sejumlah “n-days”—kerentanan yang sudah memiliki patch yang dikeluarkan untuk mereka. Dalam kasus ini, pengguna yang ditargetkan mungkin belum memperbarui perangkat atau aplikasi mereka.

Peretas yang membeli layanan dan spyware Cytrox berbasis di seluruh dunia—Yunani, Serbia, Mesir, Armenia, Spanyol, Indonesia, Madagaskar, dan Pantai Gading, tulis para peneliti. Tim TAG Google juga menulis tentang tren baru yang mengganggu: mayoritas kerentanan zero-day yang mereka temukan tahun lalu sengaja “dikembangkan” oleh perusahaan pengawasan swasta seperti Cytrox.

“Tujuh dari sembilan TAG 0 hari yang ditemukan pada tahun 2021 termasuk dalam kategori ini: dikembangkan oleh penyedia komersial dan dijual kepada serta digunakan oleh aktor yang didukung pemerintah,” tulis para peneliti. “TAG secara aktif melacak lebih dari 30 vendor dengan berbagai tingkat kecanggihan dan eksposur publik yang menjual eksploitasi atau kemampuan pengawasan kepada aktor yang didukung pemerintah.”

Skandal peretasan yang terkait dengan industri pengawasan swasta telah menimbulkan kontroversi signifikan dalam beberapa tahun terakhir. Secara khusus, perusahaan spyware terkenal NSO Group telah dituduh menjual alat intrusi digital canggihnya kepada pemerintah di seluruh dunia.

Sumber: Gizmodo

Google: Predator spyware menginfeksi perangkat Android menggunakan zero-days

by

Grup Analisis Ancaman Google (TAG) mengatakan bahwa aktor ancaman yang didukung negara menggunakan lima kerentanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Dalam serangan ini, bagian dari tiga kampanye yang dimulai antara Agustus dan Oktober 2021, penyerang menggunakan eksploitasi zero-day yang menargetkan Chrome dan OS Android untuk memasang implan spyware Predator pada perangkat Android yang sepenuhnya diperbarui.

Pelaku kejahatan yang didukung pemerintah yang membeli dan menggunakan eksploitasi ini untuk menginfeksi target Android dengan spyware berasal dari Mesir, Armenia, Yunani, Madagaskar, Pantai Gading, Serbia, Spanyol, dan Indonesia, menurut analisis Google.

Temuan ini sejalan dengan laporan tentang spyware tentara bayaran Cytrox yang diterbitkan oleh CitizenLab pada Desember 2021, ketika para penelitinya menemukan alat berbahaya di telepon politisi Mesir yang diasingkan, Ayman Nour.

Ponsel Nour juga terinfeksi spyware Pegasus NSO Group, dengan dua alat yang dioperasikan oleh dua klien pemerintah yang berbeda menurut penilaian CitizenLab.

Lima kerentanan keamanan 0 hari yang sebelumnya tidak diketahui yang digunakan dalam kampanye ini meliputi CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 di Chrome dan CVE-2021-1048 di Android

Pelaku ancaman menyebarkan eksploitasi yang menargetkan zero-days ini dalam tiga kampanye terpisah:

  • Kampanye #1 – mengalihkan ke SBrowser dari Chrome (CVE-2021-38000)
  • Kampanye #2 – Escape sandbox Chrome (CVE-2021-37973, CVE-2021-37976)
  • Kampanye #3 – Rantai eksploitasi Android 0 hari penuh (CVE-2021-38003, CVE-2021-1048)

“Ketiga kampanye mengirimkan tautan satu kali yang meniru layanan pemendek URL ke pengguna Android yang ditargetkan melalui email. Kampanye terbatas — dalam setiap kasus, kami menilai jumlah target mencapai puluhan pengguna,” tambah analis Google TAG.

“Setelah diklik, tautan mengarahkan target ke domain milik penyerang yang mengirimkan eksploitasi sebelum mengarahkan browser ke situs web yang sah. Jika tautan tidak aktif, pengguna diarahkan langsung ke situs web yang sah.”

Teknik serangan ini juga digunakan terhadap jurnalis dan pengguna Google lainnya yang diberi tahu bahwa mereka adalah target serangan yang didukung pemerintah.

Dalam kampanye ini, penyerang pertama kali menginstal trojan perbankan Android Alien dengan fungsi RAT yang digunakan untuk memuat implan Android Predator, memungkinkan perekaman audio, menambahkan sertifikat CA, dan menyembunyikan aplikasi.

Laporan ini merupakan tindak lanjut dari analisis Juli 2021 dari empat kelemahan 0 hari lainnya yang ditemukan pada tahun 2021 di Chrome, Internet Explorer, dan WebKit (Safari).

Seperti yang diungkapkan peneliti Google TAG, peretas pemerintah yang didukung Rusia yang terhubung dengan Layanan Intelijen Asing Rusia (SVR) mengeksploitasi Safari zero-day untuk menargetkan perangkat iOS milik pejabat pemerintah dari negara-negara Eropa Barat.

Sumber: Bleeping Computer

Google Menyoroti Keamanan dengan Branding Baru “Dilindungi oleh Android”

by

Video baru yang diunggah hari ini di saluran YouTube resmi Android adalah tentang memberi tahu Anda bahwa Anda “Dilindungi oleh Android,” dengan gambar orang-orang yang bahagia di ponsel mereka dan slide berisi teks pendek yang meyakinkan di antaranya. Tidak ada yang baru diumumkan di sini dengan video hanya melalui beberapa fitur keamanan terkenal sistem operasi. Play Protect memastikan bahwa Anda “aman dari malware dan aplikasi berbahaya”, meskipun keseluruhan omongan tentang “pembaruan tanpa henti” sedikit datar ketika dukungan perangkat lunak sangat bervariasi tidak hanya antara pembuat perangkat, tetapi juga seri perangkat.

Video Kampanye Dilindungi oleh Android

Kami berharap melihat lebih banyak merek baru “Dilindungi oleh Android” bersama dengan logo perisai hijau untuk muncul di seluruh OS dan di tempat lain mulai sekarang.

Video diakhiri dengan memercikkan layar dengan URL rias yang pada akhirnya mengarahkan pengguna ke bagian Keamanan situs web Android di mana fitur-fitur yang ditampilkan dalam video dijelaskan sedikit lebih detail.

Semua ini adalah bagian dari upaya terbaru Google untuk memberi tahu Anda seberapa fokusnya (lupakan Apple) pada privasi dan keamanan. Jika Anda menginginkan bukti substantif, menurut kami pencabutan izin otomatis dari Android 11 adalah contoh yang bagus. Dan jika Anda tidak yakin akan hal itu, Android 13 akan memudahkan Anda untuk memahami dan mengontrol pengaturan Anda dengan kombinasi menu keamanan dan privasi.

Sumber: Android Police

Hapus Aplikasi Android Ini Sebelum Mereka Mencuri Kata Sandi Facebook dan Kripto Anda

by

Berikut adalah beberapa aplikasi yang harus Anda hapus secepatnya:

  • Daily Fitness OL
  • Enjoy Photo Editor
  • Panorama Camera
  • Photo Gaming Puzzle
  • Swarm Photo
  • Business Meta Manager
  • Cryptomining Farm Your own Coin

Kabar baiknya adalah ketujuh aplikasi pembawa malware ini telah segera dikeluarkan dari Play Store setelah Google diberi tahu tentang niat sebenarnya dan kemampuan mencuri data mereka.

Berita buruknya adalah itu tidak menyelesaikan pelanggaran jelas masalah privasi untuk semua pengguna Android yang menginstal aplikasi ini sebelum pengungkapan ini. Selain menghapus semua penyebab pada daftar di atas yang dapat Anda temukan di ponsel Anda, mungkin bijaksana untuk mengubah kata sandi Facebook Anda dan kredensial masuk lainnya untuk aplikasi dan layanan populer lainnya yang mungkin telah Anda simpan di perangkat Anda saat menggunakan aplikasi ini. Secepatnya!

Anda tidak boleh, selamanya, pernah mempercayai platform semacam itu (terutama platform dengan rekam jejak yang tidak terverifikasi dan tidak dapat diverifikasi) bahkan dengan kripto Anda yang bernilai satu dolar atau Anda akan berisiko kehilangan… semua yang ada di dompet Anda.

Sumber: PhoneArena

Malware perbankan Android menyadap panggilan ke dukungan pelanggan

by

Trojan perbankan untuk Android yang oleh para peneliti disebut Fakecalls hadir dengan kemampuan canggih yang memungkinkannya mengambil alih panggilan ke nomor dukungan pelanggan bank dan menghubungkan korban secara langsung dengan penjahat dunia maya yang mengoperasikan malware.

Menyamar sebagai aplikasi seluler dari bank populer, Fakecalls menampilkan semua tanda entitas yang ditirunya, termasuk logo resmi dan nomor dukungan pelanggan.

Ketika korban mencoba menelepon bank, malware memutuskan koneksi dan menunjukkan layar panggilannya, yang hampir tidak bisa dibedakan dari yang asli.

Antarmuka panggilan malware mobile banking palsu (sumber: Kaspersky)

Trojan mobile banking palsu dapat melakukan ini karena pada saat instalasi meminta beberapa izin yang memberikan akses ke daftar kontak, mikrofon, kamera, geolokasi, dan penanganan panggilan.

Malware muncul tahun lalu dan terlihat menargetkan pengguna di Korea Selatan, pelanggan bank populer seperti KakaoBank atau Kookmin Bank (KB), peneliti keamanan di Kaspersky mencatat dalam sebuah laporan hari ini.

Kaspersky menganalisis malware tersebut dan menemukan bahwa malware tersebut juga dapat memutar pesan yang telah direkam sebelumnya yang meniru pesan yang biasanya digunakan oleh bank untuk menyambut pelanggan yang mencari dukungan:

Kode di Fakecalls untuk memutar audio yang telah direkam sebelumnya (sumber: Kaspersky)

Pengembang malware mencatat beberapa frasa yang biasa digunakan oleh bank untuk memberi tahu pelanggan bahwa operator akan menerima panggilan mereka segera setelah tersedia.

Di bawah ini adalah dua contoh audio yang telah direkam sebelumnya (dalam bahasa Korea) yang dimainkan oleh malware Fakecalls untuk membuat tipu muslihat lebih realistis:

Halo. Terima kasih telah menelepon KakaoBank. Pusat panggilan kami saat ini menerima panggilan dengan volume yang luar biasa besar. Seorang konsultan akan berbicara kepada Anda sesegera mungkin. Untuk meningkatkan kualitas layanan, percakapan Anda akan direkam.

Selamat datang di Kookmin Bank. Percakapan Anda akan direkam. Kami sekarang akan menghubungkan Anda dengan operator.

Peneliti Kaspersky mengatakan bahwa malware juga dapat memalsukan panggilan masuk, memungkinkan penjahat dunia maya untuk menghubungi korban seolah-olah mereka adalah layanan dukungan pelanggan bank.

Izin yang diminta malware saat penginstalan memungkinkan penjahat dunia maya untuk memata-matai korban dengan menyiarkan audio dan video secara real-time dari perangkat, melihat lokasinya, menyalin file (kontak, file seperti foto dan video), dan riwayat pesan teks.

Rekomendasi Kaspersky untuk menghindari menjadi korban malware semacam itu termasuk mengunduh aplikasi hanya dari toko resmi, dan memperhatikan izin yang berpotensi berbahaya yang diminta aplikasi (akses ke panggilan, SMS, aksesibilitas), terutama jika aplikasi tidak membutuhkannya.

Selain itu, para peneliti menyarankan pengguna untuk tidak membagikan informasi rahasia melalui telepon (kredensial login, PIN, kode keamanan kartu, kode konfirmasi).

Sumber : Bleeping Computer

Aplikasi Android dengan 45 juta pemasangan menggunakan SDK pengumpulan data

by

Analis malware seluler memperingatkan tentang serangkaian aplikasi yang tersedia di Google Play Store, yang mengumpulkan data sensitif pengguna dari lebih dari 45 juta pemasangan aplikasi.

Aplikasi mengumpulkan data ini melalui SDK pihak ketiga yang mencakup kemampuan untuk menangkap konten clipboard, data GPS, alamat email, nomor telepon, dan bahkan alamat MAC router modem pengguna dan SSID jaringan.

Data sensitif ini dapat menyebabkan risiko privasi yang signifikan bagi pengguna jika disalahgunakan atau bocor karena keamanan server/database yang buruk.

Selain itu, konten clipboard berpotensi mencakup informasi yang sangat sensitif, termasuk benih pemulihan dompet kripto, kata sandi, atau nomor kartu kredit, yang tidak boleh disimpan dalam database pihak ketiga.

Menurut AppCensus, yang menemukan penggunaan SDK ini, data yang dikumpulkan digabungkan dan dikirimkan oleh SDK ke domain “mobile.measurelib.com”, yang tampaknya dimiliki oleh perusahaan analitik yang berbasis di Panama bernama Sistem Pengukuran.

Cuplikan dari situs Sistem Pengukuran

Perusahaan mempromosikan SDK pengumpulan data bernama Coelib sebagai peluang monetisasi untuk aplikasi, mempromosikannya sebagai cara bebas iklan bagi penerbit untuk menghasilkan pendapatan.

Peneliti AppCensus mengatakan bahwa banyak string di perpustakaan SDK dikaburkan menggunakan enkripsi AES dan kemudian dikodekan base64.

Pseudocode dekripsi runtime konstan string SDK
(AppSensus)

Aplikasi paling populer dan diunduh yang ditemukan menggunakan SDK ini untuk mengirim data sensitif pengguna adalah sebagai berikut:

  • Speed ​​Camera Radar – 10 juta instalasi (nomor telepon, IMEI, SSID router, alamat MAC router)
  • Al-Moazin Lite – 10 juta instalasi (nomor telepon, IMEI, router SSID, alamat MAC router)
  • WiFi Mouse – 10 juta instalasi (alamat MAC router)
  • QR & Barcode Scanner – 5 juta pemasangan (nomor telepon, alamat email, IMEI, data GPS, SSID router, alamat MAC router)

Selengkapnya : Bleeping Computer

Penting untuk dicatat bahwa semua aplikasi ini dilaporkan ke Google pada 20 Oktober 2021, dan kemudian diselidiki dan dihapus dari Play Store.

Namun, penerbit mereka berhasil memperkenalkannya kembali di Play Store setelah menghapus SDK pengumpulan data dan mengirimkan versi baru yang diperbarui ke Google untuk ditinjau.

Namun, jika pengguna menginstal aplikasi pada tanggal sebelumnya, SDK akan tetap berjalan di ponsel cerdas mereka, jadi penghapusan dan penginstalan ulang akan disarankan dalam kasus ini.

Sayangnya, karena perpustakaan pengumpulan data berjalan diam-diam di latar belakang mengumpulkan data, sulit bagi pengguna untuk melindungi diri mereka sendiri darinya. Oleh karena itu, disarankan agar Anda hanya menginstal aplikasi dari pengembang tepercaya yang memiliki sejarah panjang aplikasi yang sangat ditinjau.

Praktik baik lainnya adalah menjaga jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin dan memastikan bahwa izin yang diminta tidak terlalu luas.

Segera setelah kami dapat mengonfirmasi bahwa SDK yang dimiliki oleh Measurementsys mengeksploitasi beberapa kerentanan Android, beroperasi dengan cara yang tidak jelas dan privasi dipertanyakan, kami segera menghapus SDK yang rusak, merilis pembaruan, dan mengakhiri hubungan kami dengan mitra ini.

Sumber : Bleeping Computer