Android

Malware Android Escobar mencuri kode MFA Google Authenticator Anda

March 14, 2022 by Eevee

Trojan perbankan Android Aberebot telah kembali dengan nama ‘Escobar’ dengan fitur-fitur baru, termasuk mencuri kode otentikasi multi-faktor Google Authenticator.

Fitur-fitur baru dalam versi Aberebot terbaru juga termasuk mengendalikan perangkat Android yang terinfeksi menggunakan VNC, merekam audio, dan mengambil foto, sementara juga memperluas kumpulan aplikasi yang ditargetkan untuk pencurian kredensial.

Tujuan utama dari trojan adalah untuk mencuri informasi yang cukup untuk memungkinkan pelaku ancaman untuk mengambil alih rekening bank korban, menyedot saldo yang tersedia, dan melakukan transaksi yang tidak sah.

Menggunakan platform DARKBEAST intelijen siber KELA, menemukan posting forum di forum peretasan berbahasa Rusia dari Februari 2022 di mana pengembang Aberebot mempromosikan versi baru mereka dengan nama ‘Escobar Bot Android Banking Trojan.’

MalwareHunterTeam pertama kali melihat APK yang mencurigakan pada tanggal 3 Maret 2022, menyamar sebagai aplikasi McAfee, dan memperingatkan tentang sifat tersembunyinya terhadap sebagian besar mesin anti-virus.

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login overlay untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya kuat terhadap versi Android apa pun, bahkan jika injeksi overlay diblokir dengan cara tertentu.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya termasuk aksesibilitas, rekaman audio, membaca SMS, penyimpanan baca/tulis, dapatkan daftar akun, menonaktifkan kunci tombol, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke server C2, termasuk log panggilan SMS, log kunci, notifikasi, dan kode Google Authenticator.

Kode untuk merebut kode Google Authenticator (Cyble)

Hal di atas sudah cukup untuk membantu para penjahat mengatasi hambatan otentikasi dua faktor ketika mengambil kendali atas rekening e-banking.

Kode 2FA tiba melalui SMS atau disimpan dan diputar di alat berbasis perangkat lunak HMAC seperti Google’s Authenticator. Selain itu, penambahan VNC Viewer, utilitas berbagi layar lintas platform dengan fitur kendali jarak jauh, memberi pelaku ancaman senjata ampuh baru untuk melakukan apa pun yang mereka inginkan saat perangkat tidak dijaga.

Aberebot juga dapat merekam klip audio atau mengambil tangkapan layar dan mengekstrak keduanya ke C2 yang dikendalikan aktor, dengan daftar lengkap perintah yang didukung tercantum di bawah ini.

Tabel perintah yang diterima oleh Aberebot (Cyble)

Secara umum, Anda dapat meminimalkan kemungkinan terinfeksi trojan Android dengan menghindari pemasangan APK di luar Google Play, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat memasang aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau baterai aplikasi dan statistik konsumsi jaringan selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.

sumber : Bleeping Computer

Pembaruan keamanan Android Maret 2022 memperbaiki tiga bug kritis

March 9, 2022 by Winnie the Pooh

Google telah merilis pembaruan keamanan Maret 2022 untuk Android 10, 11, dan 12, mengatasi tiga kelemahan tingkat keparahan kritis, salah satunya memengaruhi semua perangkat yang menjalankan OS seluler versi terbaru.

Dilacak sebagai CVE-2021-39708, kelemahannya terletak pada komponen Sistem Android, dan ini merupakan eskalasi masalah hak istimewa yang tidak memerlukan interaksi pengguna atau hak eksekusi tambahan.

Dua kelemahan kritis lainnya adalah CVE-2021-1942 dan CVE-2021-35110, keduanya memengaruhi komponen sumber tertutup pada perangkat berbasis Qualcomm.

Tidak ada detail teknis lebih lanjut yang telah dipublikasikan untuk kerentanan yang telah diperbaiki, karena hal itu akan membahayakan pengguna yang menjalankan level patch yang lebih lama.

Seperti halnya setiap bulan, Google telah merilis dua level patch untuk Maret 2022, satu ditulis sebagai “2022-03-01” dan satu sebagai “2022-03-05”.

Tingkat tambalan kedua mencakup semua yang ada di set pertama ditambah perbaikan untuk komponen sumber tertutup dan Kernel pihak ketiga yang mungkin tidak berlaku untuk semua perangkat.

Dengan satu-satunya pengecualian adalah lini Pixel Google yang akan segera menerima pembaruan keamanan ini, semua vendor lain akan memerlukan waktu untuk menggabungkan tambalan untuk masing-masing model mereka, karena konfigurasi perangkat keras yang berbeda memerlukan pengujian dan penyesuaian khusus.

Jika Anda menjalankan OS yang lebih lama dari Android 10, pertimbangkan untuk memutakhirkan ke perangkat baru yang didukung secara aktif atau mem-flash perangkat Anda yang sudah ada dengan ROM Android pihak ketiga yang didasarkan pada versi AOSP terbaru.

Selengkapnya: Bleeping Computer

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

March 7, 2022 by Winnie the Pooh

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

March 7, 2022 by Winnie the Pooh

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Trojan perbankan TeaBot yang berbahaya menargetkan ratusan aplikasi keuangan

March 6, 2022 by Søren

Pakar keamanan siber dengan Cleafy baru-baru ini menerbitkan laporan baru tentang TeaBot yang seharusnya membuat pengguna Android waspada.

Tim menemukan bahwa ada lompatan besar dalam jumlah target TeaBot — setidaknya 400 aplikasi yang digunakan untuk perbankan, transaksi cryptocurrency, dan asuransi digital — dan malware tersebut mulai menargetkan korban di Rusia, Hong Kong, dan Amerika Serikat.

TeaBot beroperasi menggunakan “penipuan pada perangkat,” memanipulasi layanan aksesibilitas dan kemampuan streaming langsung perangkat yang terinfeksi dengan cara yang memungkinkan penyerang untuk berinteraksi dari jarak jauh dengan ponsel dan memantaunya melalui pencatatan kunci.

Salah satu inkarnasi terbarunya yang diketahui muncul melalui aplikasi kode QR di Play Store, berfungsi sebagai penetes seperti pil racun untuk malware.

Setelah diunduh, aplikasi mengeluarkan popup yang meminta Anda menginstal add-on. Meskipun itu bukan tanda bahaya, aplikasi yang tidak bersalah biasanya menginstal perangkat lunak semacam itu melalui Google Play Store, sementara yang ini mencoba menipu Anda untuk melakukan sideload.

Pengalihan seperti itu dapat menandakan kemungkinan adanya dropper trojan, dan di sini add-on berisi TeaBot.

Setelah masuk, malware mulai bekerja, mengakses izin untuk layanan aksesibilitas ponsel Anda, yang memungkinkannya menguasai layar Anda.

Kemudian dapat merekam hal-hal fatal seperti login, SMS, dan kode otentikasi dua faktor.

Jika Anda telah menginstal aplikasi ini, yang terdaftar sebagai produk “QR Barcode Scanner Bussiness [sic] LLC,” segera hapus untuk menghindari orang asing membeli siapa-tahu-apa dengan uang receh Anda (dan jujur, mungkin berpikir tentang pabrik penuh menghapus).

Selengkapnya: Android Police

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

March 3, 2022 by Winnie the Pooh

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Aplikasi Android gratis memungkinkan pengguna mendeteksi pelacakan Apple AirTag

March 1, 2022 by Eevee

Peneliti di Universitas Darmstadt di Jerman menerbitkan sebuah laporan yang menggambarkan bagaimana aplikasi AirGuard mereka untuk Android memberikan perlindungan yang lebih baik dari pengintaian AirTag yang tersembunyi daripada aplikasi lain.

Apple AirTag adalah pencari perangkat berbasis Bluetooth yang dirilis pada April 2021 yang memungkinkan pemilik melacak perangkat menggunakan layanan ‘Temukan Saya’ Apple.

Sayangnya, AirTag memiliki potensi penyalahgunaan yang besar karena ukurannya yang kecil karena orang dapat memasukkannya ke dalam jaket, koper, atau bahkan mobil orang untuk melacaknya tanpa izin.

Fitur-fitur ini bergantung pada pengidentifikasian pola penyalahgunaan, seperti memiliki AirTag di dekatnya yang dimiliki oleh akun Apple yang berbeda dan memberikan peringatan di iPhone korban.

Dalam kasus pengguna Android, masalahnya diperbesar karena Apple membiarkan mereka tanpa cara resmi untuk menemukan AirTags hingga Desember 2021, ketika merilis Tracker Detect di Play Store.

Tracker Detect, bagaimanapun, tidak ada artinya dibandingkan dengan rekan iOS-nya, karena hanya akan memberi tahu korban bahwa mereka dilacak jika diperintahkan untuk melakukan pemindaian manual, dan bahkan kemudian, sering kali melewatkan AirTags terdekat tanpa alasan yang jelas.

Para peneliti universitas memutuskan untuk melakukan sesuatu tentang masalah privasi Apple AirTag di dunia Android dan merekayasa balik deteksi pelacakan iOS untuk memahami cara kerja bagian dalamnya dengan lebih baik.

Mereka kemudian merancang aplikasi AirGuard, solusi anti-pelacakan deteksi otomatis dan pasif yang bekerja melawan semua aksesori Temukan Saya dan perangkat pelacak lainnya.

AirGuard menyajikan peringatan kepada pengguna yang dilacak (Arxiv.org)

Aplikasi ini dirilis pada Agustus 2021, dan sejak itu, telah mengumpulkan basis pengguna 120.000 orang. Itu dapat mendeteksi semua perangkat Temukan Saya, termasuk yang dibuat sendiri seperti AirTags yang dikloning atau dimodifikasi, sebagai alat pelacak paling tersembunyi.

Para peneliti sekarang telah mempublikasikan hasil tes dunia nyata mereka yang diambil dari eksperimen mereka dan diambil dari data komunitas dari mereka yang menggunakan aplikasi.

Perbandingan waktu penayangan lansiran (Arxiv.org)

Selain melayani peringatan pelacakan lebih cepat, AirGuard juga dapat mendeteksi pelacak yang ditempatkan di mobil, yang merupakan solusi paling sulit untuk digali, dan opsi penempatan pelacak terbaik untuk pelaku kejahatan.

Aplikasi AirGuard adalah perangkat lunak sumber terbuka yang tersedia secara gratis melalui Google Play Store, sehingga kodenya terbuka untuk diteliti, dan kemungkinan aplikasi tersebut dicampur dengan malware sangat kecil.

Namun, Anda harus mencatat bahwa aplikasi ini meminta beberapa izin berisiko untuk berfungsi pada ponsel cerdas Anda, yang merupakan bagian integral dari penyediaan layanan yang dijanjikan.

Sumber : Bleeping Computer

Hp Android kamu bisa jadi ada stalkerware, ini cara menghilangkannya

February 24, 2022 by Eevee

kerentanan keamanan di salah satu operasi spyware tingkat konsumen terbesar saat ini membahayakan data telepon pribadi sekitar 400.000 orang, jumlah yang terus bertambah setiap hari. Operasi, yang diidentifikasi oleh TechCrunch, dijalankan oleh sekelompok kecil pengembang di Vietnam tetapi belum memperbaiki masalah keamanan.

Aplikasi spyware tingkat konsumen sering dijual dengan kedok perangkat lunak pelacakan anak tetapi juga dikenal sebagai “penguntit” karena kemampuannya untuk melacak dan memantau pasangan atau pasangan tanpa persetujuan mereka. Aplikasi ini diunduh dari luar toko aplikasi Google Play, ditanam di ponsel tanpa izin dan dirancang untuk menghilang dari layar beranda untuk menghindari deteksi. Anda mungkin melihat ponsel Anda bertindak tidak biasa, atau berjalan lebih hangat atau lebih lambat dari biasanya, bahkan saat Anda tidak menggunakannya secara aktif.

Karena armada aplikasi penguntit ini mengandalkan penyalahgunaan fitur bawaan Android yang lebih umum digunakan oleh pemberi kerja untuk mengelola telepon kantor karyawan mereka dari jarak jauh, pemeriksaan untuk melihat apakah perangkat Android Anda disusupi dapat dilakukan dengan cepat dan mudah.

Panduan dibawah ini hanya akan menghapus aplikasi spyware, tidak menghapus data yang telah dikumpulkan dan diunggah ke servernya. Selain itu, beberapa versi Android mungkin memiliki opsi menu yang sedikit berbeda.

Periksa setelan Google Play Protect Anda

Google Play Protect adalah salah satu perlindungan terbaik untuk melindungi dari aplikasi Android berbahaya, baik pihak ketiga maupun di app store. Tetapi ketika dimatikan, perlindungan tersebut berhenti, dan stalkerware atau malware dapat diinstal pada perangkat di luar Google Play.

Periksa apakah layanan aksesibilitas telah dirusak
Jika Anda tidak mengenali layanan yang diunduh di opsi Aksesibilitas, Anda mungkin ingin menghapusnya. Banyak aplikasi penguntit disamarkan sebagai aplikasi biasa yang disebut “Aksesibilitas” atau “Kesehatan Perangkat”.

Spyware Android sering menyalahgunakan fitur aksesibilitas bawaan. Kredit Gambar: TechCrunch

Periksa apakah aplikasi admin perangkat telah diinstal
Opsi admin perangkat memiliki akses yang serupa tetapi bahkan lebih luas ke Android sebagai fitur aksesibilitas. Opsi admin perangkat ini dirancang untuk digunakan oleh perusahaan untuk mengelola ponsel karyawan dari jarak jauh, menonaktifkan fitur, dan menghapus data untuk mencegah kehilangan data. Tetapi mereka juga mengizinkan aplikasi penguntit untuk merekam layar dan mengintai pemilik perangkat.

Item yang tidak dikenal di pengaturan aplikasi admin perangkat Anda adalah indikator umum dari penyusupan telepon. Kredit Gambar: TechCrunch

Periksa aplikasi yang akan dicopot pemasangannya
Buka pengaturan Android Anda, lalu lihat aplikasi Anda. Cari aplikasi yang tidak berbahaya seperti “Device Health” atau “System Service”, dengan ikon yang tampak umum. Aplikasi ini akan memiliki akses luas ke kalender, log panggilan, kamera, kontak, dan lokasi Anda.

Aplikasi spyware sering kali memiliki ikon yang tampak umum. Kredit Gambar: TechCrunch

Jika Anda melihat aplikasi di sini yang tidak Anda kenali atau belum Anda instal, Anda dapat menekan Uninstall. Perhatikan bahwa ini kemungkinan akan mengingatkan orang yang menanam stalkerware bahwa aplikasi tersebut tidak lagi diinstal.

Amankan ponsel Anda
Jika stalkerware ditanam di ponsel Anda, ada kemungkinan besar ponsel Anda tidak terkunci, tidak terlindungi, atau kunci layar Anda dapat ditebak atau dipelajari. Kata sandi layar kunci yang lebih kuat dapat membantu melindungi ponsel Anda dari calon penguntit. Anda juga harus melindungi email dan akun online lainnya menggunakan otentikasi dua faktor jika memungkinkan.

Sumber : TechCrunch

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Android

Cookies Settings