Android

Aplikasi malware Android baru dipasang 10 juta kali dari Google Play

July 28, 2022 by Eevee

Kumpulan baru aplikasi Android berbahaya yang diisi dengan adware dan malware ditemukan di Google Play Store yang telah diinstal hampir 10 juta kali di perangkat seluler.

Aplikasi ini berfungsi sebagai alat pengeditan gambar, keyboard virtual, pengoptimal sistem, pengubah wallpaper, dan banyak lagi. Namun, fungsi dasarnya adalah untuk mendorong iklan yang mengganggu, membuat pengguna berlangganan layanan premium, dan mencuri akun media sosial korban.

Google telah menghapus sebagian besar aplikasi yang disajikan, tetapi pada saat penulisan ini, tiga aplikasi tetap tersedia untuk diunduh dan dipasang melalui Play Store.

Selain itu, jika Anda menginstal salah satu aplikasi ini sebelum dihapus dari Play Store, Anda masih perlu mencopot pemasangannya dari perangkat Anda secara manual dan menjalankan pemindaian AV untuk membersihkan sisa-sisanya.

Aplikasi adware yang ditemukan oleh Dr. Web adalah modifikasi dari keluarga yang ada yang pertama kali muncul di Google Play Store pada Mei 2022.

Setelah penginstalan, aplikasi meminta izin untuk melapisi jendela di atas aplikasi apa pun dan dapat menambahkan dirinya sendiri ke daftar pengecualian penghemat baterai sehingga mereka dapat terus berjalan di latar belakang saat korban menutup aplikasi.

Aplikasi berbahaya yang meminta pengecualian dari penghemat baterai (Dr. Web)

Selain itu, mereka menyembunyikan ikon mereka dari laci aplikasi atau menggantinya dengan sesuatu yang menyerupai komponen sistem inti, seperti “SIM Toolkit”.

Mencoba menipu pengguna dengan penggantian ikon (Dr. Web)

Daftar lengkap aplikasi adware dapat ditemukan di bagian bawah artikel, tetapi satu contoh penting yang masih ada di Play Store adalah ‘Keyboard Tema Neon,’ yang memiliki lebih dari satu juta unduhan meskipun skor bintang 1,8 dan banyak ulasan negatif.

Kategori kedua dari aplikasi berbahaya yang ditemukan di Play Store adalah aplikasi Joker, yang dikenal karena menimbulkan biaya penipuan pada nomor ponsel korban dengan berlangganan layanan premium.

Dua dari aplikasi yang terdaftar, ‘Water Reminder’ dan ‘Yoga – For Beginner to Advanced,’ masih ada di Play Store, masing-masing memiliki 100.000 dan 50.000 unduhan.

Dua dari aplikasi trojan masih ada di Play Store

Keduanya menyediakan fungsionalitas yang dijanjikan, tetapi mereka juga melakukan tindakan jahat di latar belakang, berinteraksi dengan elemen tak terlihat atau di luar fokus yang dimuat melalui WebView dan membebani pengguna dengan biaya.

Terakhir, Dr. Web menyoroti dua pencuri akun Facebook yang didistribusikan dalam alat pengeditan gambar yang menerapkan filter kartun di atas gambar biasa.

Aplikasi ini adalah ‘YouToon – AI Cartoon Effect’ dan ‘Pista – Cartoon Photo Effect,’ yang telah diunduh secara kolektif lebih dari 1,5 juta kali melalui Play Store.

Editor gambar yang sangat populer yang sebenarnya adalah pencuri Facebook (Dr. Web)

Malware Android akan selalu menemukan cara untuk menyusup ke Google Play Store, dan terkadang aplikasi dapat bertahan di sana selama beberapa bulan, jadi Anda tidak boleh begitu saja memercayai aplikasi apa pun yang dapat secara membabi buta mempercayai tidak ada aplikasi.

Karena itu, sangat penting untuk memeriksa ulasan dan peringkat pengguna, mengunjungi situs web pengembang, membaca kebijakan privasi, dan memperhatikan izin yang diminta selama instalasi.

Terakhir, pastikan Play Protect aktif di perangkat Anda dan pantau data internet dan konsumsi baterai Anda secara teratur untuk mengidentifikasi proses mencurigakan yang berjalan di latar belakang.

Seperti yang dinyatakan sebelumnya, pengguna juga harus memeriksa untuk melihat apakah mereka memiliki salah satu dari aplikasi adware Android berikut yang diinstal pada perangkat mereka, dan jika ditemukan, hapus secara manual dan pindai virus.

Daftar aplikasi malware lainnya

Selengkapnya : Bleeping Computer

Google meningkatkan privasi Android dengan dukungan untuk DNS-over-HTTP/3

July 21, 2022 by Eevee

Google telah menambahkan dukungan untuk protokol DNS-over-HTTP/3 (DoH3) di Android 11 dan yang lebih baru untuk meningkatkan privasi kueri DNS sambil memberikan kinerja yang lebih baik.

HTTP/3 adalah versi utama ketiga dari Hypertext Transfer Protocol, yang mengandalkan QUIC, protokol transport multipleks yang dibangun di atas UDP, daripada TCP seperti versi sebelumnya.

Protokol baru memperbaiki masalah “pemblokiran head-of-line,” yang memperlambat transaksi data internet ketika sebuah paket hilang atau disusun ulang, sesuatu yang cukup umum ketika berpindah-pindah di ponsel dan sering berpindah koneksi.

Perbandingan tumpukan protokol (Wikipedia)

Android sebelumnya mendukung DNS-over-TLS (DoT) untuk versi 9 dan yang lebih baru untuk meningkatkan privasi kueri DNS, tetapi sistem ini pasti memperlambat permintaan DNS karena overhead enkripsi.

Selain itu, DoT memerlukan negosiasi ulang lengkap dari koneksi baru saat mengubah jaringan. Sebaliknya, QUIC dapat melanjutkan koneksi yang ditangguhkan dalam satu RTT (waktu yang dibutuhkan sinyal untuk mencapai tujuan).

Dengan DoH3, banyak beban kinerja DoT terangkat, dan menurut pengukuran Google, mencapai peningkatan kinerja 24% untuk waktu kueri rata-rata. Dalam beberapa kasus, Google telah melihat peningkatan kinerja hingga 44%.

Selain itu, DoH3 dapat membantu jaringan yang tidak dapat diandalkan, bahkan mengungguli DNS tradisional berkat mekanisme kontrol aliran proaktif yang segera menghasilkan peringatan kegagalan pengiriman paket alih-alih menunggu waktu habis.

DNS-over-HTTPS sudah didukung secara luas oleh banyak penyedia DNS untuk memberikan peningkatan privasi saat melakukan permintaan DNS.

Dengan Google yang mendukung DNS-over-HTTP/3 Android dan DNS-over-QUIC sekarang sebagai standar yang diusulkan, kemungkinan besar kami akan segera melihat peningkatan adopsi oleh penyedia DNS.

Namun, sebagai bagian dari peluncuran fitur ini, perangkat Android akan menggunakan Cloudflare DNS dan Google Public DNS, yang sudah mendukung DNS-over-QUIC.

Di masa mendatang, Google berencana menambahkan dukungan untuk penyedia DoH3 lainnya melalui penggunaan Discovery of Designated Resolver (DDR), yang secara otomatis memilih penyedia terbaik untuk konfigurasi spesifik Anda.

Keunggulan lain dari DoH3 adalah penggunaan Rust dalam implementasinya, yang menghasilkan sistem lean yang terdiri dari 1.640 baris kode yang menggunakan thread runtime tunggal, bukan empat DoT.

Hasilnya adalah sistem tingkat rendah yang berkinerja dengan sedikit ketergantungan, ringan, dan menggunakan bahasa yang aman untuk memori yang mengurangi jumlah bug yang dapat dimanfaatkan penyerang untuk menyalahgunakannya.

Pengguna akhir tidak perlu melakukan tindakan apa pun untuk mengaktifkan fitur baru, karena Android akan menangani bagian ini secara otomatis.

Sumber: Bleeping Computer

Malware Android baru di Google Play dipasang 3 juta kali

July 14, 2022 by Eevee

Keluarga malware Android baru di Google Play Store yang secara diam-diam membuat pengguna berlangganan layanan premium telah diunduh lebih dari 3.000.000 kali.

Malware bernama ‘Autolycos’, ditemukan oleh peneliti keamanan Evina, Maxime Ingrao, berada di setidaknya delapan aplikasi Android, dua di antaranya masih tersedia di Google Play Store pada saat penulisan ini.

Dua aplikasi yang masih tersedia diberi nama ‘Funny Camera’ oleh KellyTech, yang memiliki lebih dari 500.000 pemasangan, dan ‘Razer Keyboard & Tema’ oleh rxcheldiolola, yang menghitung lebih dari 50.000 pemasangan di Play Store.

Enam aplikasi yang tersisa telah dihapus dari Google Play Store, tetapi mereka yang masih menginstalnya berisiko dikenai biaya berlangganan yang mahal oleh aktivitas malware.

Vlog Star Video Editor (com.vlog.star.video.editor) – 1 juta unduhan
Creative 3D Launcher (app.launcher.creative3d) – 1 juta unduhan
Wow Beauty Camera (com.wowbeauty.camera) – 100.000 unduhan
Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100.000 unduhan
Freeglow Camera 1.0.0 (com.glow.camera.open) – 5.000 unduhan
Coco Camera v1.1 (com.toomore.cool.camera) –1.000 unduhan

Selama diskusi dengan Ingrao, peneliti mengatakan bahwa ia menemukan aplikasi pada Juni 2021 dan melaporkan temuannya ke Google pada saat itu.

Meskipun Google mengakui menerima laporan itu, butuh waktu enam bulan bagi perusahaan untuk menghapus enam set, sementara dua aplikasi berbahaya tetap ada di Play Store hingga hari ini.

Setelah sekian lama berlalu sejak pelaporan awal, peneliti mengungkapkan temuannya kepada publik.

Autolycos adalah malware yang melakukan perilaku berbahaya diam-diam seperti mengeksekusi URL pada browser jarak jauh dan kemudian menyertakan hasilnya dalam permintaan HTTP alih-alih menggunakan Webview.

Perilaku ini dimaksudkan untuk membuat tindakannya kurang terlihat dan dengan demikian tidak terdeteksi oleh pengguna perangkat yang disusupi.

Dalam banyak kasus, aplikasi jahat meminta izin untuk membaca konten SMS saat dipasang di perangkat, memungkinkan aplikasi mengakses pesan teks SMS korban.

Untuk mempromosikan aplikasi kepada pengguna baru, operator Autolycos membuat banyak kampanye iklan di media sosial. Untuk Razer Keyboard & Theme saja, Ingrao menghitung 74 kampanye iklan di Facebook.

Selain itu, sementara beberapa aplikasi berbahaya mengalami ulasan negatif yang tak terhindarkan di Play Store, aplikasi dengan unduhan lebih sedikit mempertahankan peringkat pengguna yang baik karena ulasan bot.

Agar tetap aman dari ancaman ini, pengguna Android harus memantau data internet latar belakang dan konsumsi baterai, tetap mengaktifkan Play Protect, dan mencoba meminimalkan jumlah aplikasi yang mereka instal di ponsel cerdas mereka.

Pembaruan 13/7/2022: Google telah menghapus dua aplikasi adware yang tersisa dari Play Store segera setelah publikasi posting ini.

Sumber: Bleeping Computer

Pixel 6 dan Galaxy S22 terpengaruh oleh kerentanan utama kernel Linux baru

July 8, 2022 by Eevee

Kerentanan besar telah ditemukan oleh peneliti keamanan dan mahasiswa PhD Northwestern Zhenpeng Lin, yang memengaruhi kernel pada Pixel 6 dan 6 Pro dan perangkat Android lainnya yang menjalankan versi kernel Linux berbasis 5.10 seperti seri Galaxy S22.

Peneliti mengklaim kerentanan tersebut dapat mengaktifkan akses read dan write, eskalasi hak istimewa, dan menonaktifkan perlindungan keamanan SELinux. Peneliti telah memverifikasi ke Android Police bahwa Google tidak diberitahu tentang kerentanan sebelum demonstrasi di Twitter.

Tak satu pun dari detail teknis yang tepat di balik cara kerja eksploit telah dirilis, tetapi video yang mengklaim menunjukkan eksploit yang digunakan pada Pixel 6 Pro mampu mencapai root dan menonaktifkan SELinux. Dengan alat seperti itu, aktor jahat bisa mendapatkan banyak kerusakan.

Berdasarkan beberapa detail yang ditampilkan dalam video, serangan ini mungkin menggunakan semacam eksploitasi akses memori untuk melakukan hal itu, dan berpotensi seperti kerentanan Dirty Pipe baru-baru ini yang memengaruhi seri Galaxy S22, seri Pixel 6, dan beberapa perangkat lain yang diluncurkan dengan Kernel Linux versi 5.8 di Android 12 dan yang lebih baru.

Peneliti juga menyatakan bahwa semua ponsel yang menggunakan Kernel Linux v5.10 terpengaruh, yang telah mereka verifikasi termasuk seri Samsung Galaxy S22. Ini mungkin juga termasuk perangkat Android terbaru lainnya yang diluncurkan dengan Android 12.

Seringkali, peneliti keamanan menahan diri untuk tidak mengungkapkan secara terbuka detail apa pun terkait kerentanan dalam periode yang dikenal sebagai “pengungkapan kerentanan terkoordinasi”, di mana peneliti keamanan hanya mengungkapkan eksploitasi kepada publik sebagai upaya terakhir untuk melindungi pengguna akhir jika dan ketika upaya sebelumnya untuk mencapai perusahaan yang terlibat gagal.

Tahun lalu Google mengeluarkan $8,7 juta hadiah bug bounty, dan saat ini perusahaan mengatakan membayar hingga $250.000 untuk kerentanan tingkat kernel. Kerentanan bahkan mungkin memenuhi syarat untuk kategori hadiah terpisah lainnya, tetapi mengungkapkan kerentanan secara publik sebelum melaporkannya ke Google dapat memengaruhi semua itu.

Keadaan ditinjau berdasarkan kasus per kasus, tetapi aturan yang dipublikasikan terdengar seperti mengungkapkan kerentanan di Twitter dapat menghalangi penghargaan tipikal meskipun video tidak sepenuhnya menjelaskan cara kerja kerentanan. Google akhirnya memiliki keputusan terakhir, dan sebagian besar peneliti tampaknya melakukan kesalahan di sisi kehati-hatian, menahan pengungkapan publik sampai nanti.

Lin memberi tahu kami bahwa dia yakin demonstrasinya hanyalah bukti konsep yang dimaksudkan untuk memperingatkan pengguna akhir sebelum ditambal, sehingga mereka dapat mencoba melindungi diri mereka sendiri (meskipun metode untuk perlindungan itu belum ditawarkan), dan tidak akan merupakan pelanggaran aturan pengungkapan Google.

Sumber: Android Police

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

July 3, 2022 by Eevee Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

June 28, 2022 by Eevee

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

June 26, 2022 by Eevee

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

June 24, 2022 by Eevee

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
CVE-2020-9907 secara internal disebut sebagai AveCesare.
CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Android

Cookies Settings