Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Paket malware baru menyebar sendiri melalui video game YouTube

by

Bundel malware baru menggunakan saluran YouTube korban untuk mengunggah video tutorial berbahaya yang mengiklankan cheat dan crack palsu untuk video game populer untuk menyebarkan paket berbahaya lebih jauh.

Bundel malware yang menyebar sendiri telah dipromosikan di video YouTube yang menargetkan penggemar yang bermain FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, dan Spider-Man.

Video yang diunggah ini berisi tautan untuk mengunduh crack dan cheat palsu, tetapi pada kenyataannya, mereka memasang bundel malware yang menyebar sendiri yang menginfeksi pengunggah.

Dalam laporan baru oleh Kaspersky, para peneliti menemukan arsip RAR yang berisi kumpulan malware, terutama RedLine, yang saat ini merupakan salah satu pencuri informasi yang paling banyak didistribusikan.

RedLine dapat mencuri informasi yang disimpan di browser web korban, seperti cookie, kata sandi akun, dan kartu kredit, mengakses percakapan instant messenger, dan membahayakan dompet cryptocurrency.

Selain itu, penambang disertakan dalam arsip RAR, mengambil keuntungan dari kartu grafis korban, yang kemungkinan besar mereka miliki karena mereka menonton video game di YouTube, untuk menambang cryptocurrency untuk penyerang.

Berkat utilitas Nirsoft NirCmd yang sah dalam bundel, bernama “nir.exe,” saat diluncurkan, semua yang dapat dieksekusi akan disembunyikan dan tidak menghasilkan jendela di antarmuka atau ikon bilah tugas apa pun, jadi semuanya tetap tersembunyi dari korban.

Infeksi yang dibundel dan yang dapat dieksekusi sendiri tidak terlalu menarik dan biasanya digunakan oleh aktor ancaman dalam kampanye distribusi malware lainnya.

Namun, Kaspersky menemukan mekanisme propagasi diri yang tidak biasa dan menarik yang bersembunyi di arsip yang memungkinkan malware menyebar sendiri ke korban lain di Internet.

Secara khusus, RAR berisi file batch yang menjalankan tiga executable berbahaya, yaitu “MakiseKurisu.exe”, “download.exe”, dan “upload.exe”, yang melakukan self-propagation bundel.

File yang terdapat dalam RAR (Kaspersky)

Yang pertama, MakiseKurisu, adalah versi modifikasi dari pencuri kata sandi C# yang tersedia secara luas, yang digunakan hanya untuk mengekstrak cookie dari browser dan menyimpannya secara lokal.

Eksekusi kedua, “download.exe”, digunakan untuk mengunduh video dari YouTube, yang merupakan salinan video yang mempromosikan bundel berbahaya.

Video diunduh dari tautan yang diambil dari repositori GitHub untuk menghindari mengarah ke URL video yang dilaporkan dan dihapus dari YouTube.

Video YouTube yang mempromosikan bundel malware (Kaspersky)

Akhirnya, “upload.exe” digunakan untuk mengunggah video yang mempromosikan malware ke YouTube, menggunakan cookie yang dicuri untuk masuk ke akun YouTube korban dan menyebarkan bundel melalui saluran mereka.

Code to upload the malicious videos (Kaspersky)

“Itu [upload.exe] menggunakan Puppiteer Node library, yang menyediakan API tingkat tinggi untuk mengelola Chrome dan Microsoft Edge menggunakan protokol DevTools,” jelas Kaspersky dalam laporannya.

“Ketika video berhasil diunggah ke YouTube, upload.exe mengirim pesan ke Discord dengan tautan ke video yang diunggah.”

Menghasilkan pemberitahuan Discord (Kaspersky)

Sementara pelaku ancaman mendapat informasi tentang unggahan baru, pemilik saluran kemungkinan tidak akan menyadari bahwa mereka mempromosikan perangkat lunak perusak di YouTube jika mereka tidak terlalu aktif di platform tersebut.

Metode distribusi agresif ini membuat pengawasan dan penghapusan di YouTube semakin sulit, karena video yang mengarah ke unduhan berbahaya diunggah dari akun yang kemungkinan memiliki catatan bersih yang sudah lama ada.

Sumber: Bleeping Computer

Malware tersembunyi baru yang menargetkan Linux

by

Malware Linux baru yang dikenal sebagai Shikitega telah ditemukan menginfeksi komputer dan perangkat IoT dengan muatan tambahan.

Malware ini mengeksploitasi kerentanan untuk meningkatkan hak istimewanya, menambahkan persistensi pada host melalui crontab, dan akhirnya meluncurkan penambang cryptocurrency pada perangkat yang terinfeksi.

Shikitega berhasil menghindari deteksi anti-virus menggunakan encoder polimorfik yang membuat deteksi statis berbasis tanda tangan menjadi tidak mungkin.

Para peneliti di AT&T mengatakan malware menggunakan rantai infeksi multi-langkah di mana setiap lapisan hanya mengirimkan beberapa ratus byte, mengaktifkan modul sederhana dan kemudian pindah ke yang berikutnya.

Infeksi dimulai dengan file ELF 370 byte, yang merupakan penetes yang berisi kode shell yang disandikan.

File ELF yang memulai rantai infeksi (AT&T)

Pengkodean dilakukan menggunakan enkoder umpan balik aditif XOR polimorfik ‘Shikata Ga Nai,’ yang sebelumnya dianalisis oleh Mandiant.

“Dengan menggunakan encoder, malware berjalan melalui beberapa loop decode, di mana satu loop mendecode lapisan berikutnya hingga payload shellcode terakhir didekodekan dan dieksekusi,” lanjut laporan tersebut.

Loop dekripsi Shikata Ga Nai (AT&T)

Setelah dekripsi selesai, shellcode dieksekusi untuk menghubungi command and control server (C2) malware dan menerima shellcode (perintah) tambahan yang disimpan dan dijalankan langsung dari memori.

Salah satu dari perintah ini mengunduh dan menjalankan ‘Mettle,’ muatan Metasploit Meterpreter kecil dan portabel yang memberi penyerang lebih jauh kendali jarak jauh dan opsi eksekusi kode pada host.

Mettle mengambil file ELF yang lebih kecil, yang mengeksploitasi CVE-2021-4034 (alias PwnKit) dan CVE-2021-3493 untuk meningkatkan hak istimewa dan mengunduh payload tahap akhir, penambang cryptocurrency, sebagai root.

Kegigihan untuk penambang crypto dicapai dengan mengunduh lima skrip shell yang menambahkan empat cronjobs, dua untuk pengguna root dan dua untuk pengguna saat ini.

Lima skrip shell dan fungsinya (AT&T)

Crontab adalah mekanisme persistensi yang efektif, sehingga semua file yang diunduh dihapus untuk mengurangi kemungkinan malware ditemukan.

Penambang kripto adalah XMRig versi 6.17.0, berfokus pada penambangan Monero yang berfokus pada anonimitas dan sulit dilacak.

Ikhtisar rantai infeksi Shikitega (AT&T)

Untuk lebih mengurangi kemungkinan meningkatkan alarm pada produk keamanan jaringan, aktor ancaman di belakang Shikitega menggunakan layanan hosting cloud yang sah untuk meng-host infrastruktur komando dan kontrol mereka.

Tim AT&T melaporkan peningkatan tajam dalam malware Linux tahun ini, menyarankan admin sistem untuk menerapkan pembaruan keamanan yang tersedia, menggunakan EDR di semua endpoint, dan membuat cadangan rutin untuk data penting.

Sumber : Bleeping Computer

Ekstensi Chrome dengan 1,4 juta pemasangan mencuri data penjelajahan

by

Analis ancaman di McAfee menemukan lima ekstensi Google Chrome yang mencuri aktivitas penelusuran pengguna yang telah diunduh lebih dari 1,4 juta kali.

Tujuan dari ekstensi jahat adalah untuk memantau saat pengguna mengunjungi situs web e-niaga dan untuk mengubah cookie pengunjung agar tampak seolah-olah mereka datang melalui tautan perujuk. Untuk ini, penulis ekstensi mendapatkan biaya afiliasi untuk setiap pembelian di toko elektronik.

Lima ekstensi berbahaya yang ditemukan oleh peneliti McAfee adalah sebagai berikut:

  • Netflix Party (mmnbenehknklpbendgmgneaignppnbe) – 800.000 unduhan
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 unduhan
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 unduhan
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 unduhan
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 unduhan
Empat dari ekstensi berbahaya (McAfee)

Kelima ekstensi yang ditemukan oleh McAfee memiliki perilaku yang serupa. Manifes aplikasi web (file “manifest.json”), yang menentukan bagaimana ekstensi harus berperilaku pada sistem, memuat skrip multifungsi (B0.js) yang mengirimkan data penelusuran ke domain yang dikontrol penyerang (“langhort[.] com”).

Data dikirimkan melalui permintaan POST setiap kali pengguna mengunjungi URL baru. Info yang menjangkau penipu termasuk URL dalam bentuk base64, ID pengguna, lokasi perangkat (negara, kota, kode pos), dan URL rujukan yang disandikan.

Jika situs web yang dikunjungi cocok dengan entri apa pun pada daftar situs web yang pembuat ekstensinya memiliki afiliasi aktif, server akan merespons B0.js dengan salah satu dari dua kemungkinan fungsi.

Yang pertama, “Result[‘c’] – passf_url “, memerintahkan skrip untuk memasukkan URL yang disediakan (tautan rujukan) sebagai iframe di situs web yang dikunjungi.

Yang kedua, “Result[‘e’] setCookie”, memerintahkan B0.js untuk memodifikasi cookie atau menggantinya dengan cookie yang disediakan jika ekstensi telah diberikan izin terkait untuk melakukan tindakan ini.

Untuk menghindari deteksi, analisis, dan untuk membingungkan peneliti atau pengguna yang waspada, beberapa ekstensi menampilkan penundaan 15 hari sejak pemasangannya sebelum mulai mengirimkan aktivitas browser.

Pada saat penulisan ini, “Full Page Screenshot Capture – Screenshotting” dan “FlipShope – Price Tracker Extension” masih tersedia di Toko Web Chrome.

Kedua ekstensi Netflix Party telah dihapus dari toko, tetapi ini tidak menghapusnya dari browser web, jadi pengguna harus mengambil tindakan manual untuk mencopot pemasangannya.

Sumber: Bleeping Computer

Bagaimana peretas ‘Kimsuky’ memastikan malware mereka hanya mencapai target yang valid

by

Aktor ancaman ‘Kimsuky’ Korea Utara akan berusaha keras untuk memastikan bahwa muatan berbahaya mereka hanya diunduh oleh target yang valid dan bukan pada sistem peneliti keamanan.

Menurut laporan Kaspersky yang diterbitkan hari ini, kelompok ancaman telah menggunakan teknik baru untuk menyaring permintaan unduhan yang tidak valid sejak awal tahun 2022, ketika kelompok tersebut meluncurkan kampanye baru terhadap berbagai target di semenanjung Korea.

Perlindungan baru yang diterapkan oleh Kimsuky sangat efektif sehingga Kaspersky melaporkan ketidakmampuan untuk memperoleh muatan akhir bahkan setelah berhasil terhubung ke server perintah dan kontrol pelaku ancaman.

Serangan yang ditemukan oleh Kaspersky dimulai dengan email phishing yang dikirim ke politisi, diplomat, profesor universitas, dan jurnalis di Korea Utara dan Selatan.

Kaspersky dapat mengkompilasi daftar target potensial berkat skrip C2 yang diambil yang berisi sebagian alamat email target.

Target potensial yang diturunkan oleh Kaspersky

Email berisi tautan yang membawa korban ke server C2 tahap pertama yang memeriksa dan memverifikasi beberapa parameter sebelum mengirimkan dokumen berbahaya. Jika pengunjung tidak cocok dengan daftar target, mereka akan disuguhi dokumen yang tidak berbahaya.

Parameter termasuk alamat email pengunjung, OS (Windows valid), dan file “[who].txt” yang dijatuhkan oleh server tahap kedua.

Pada saat yang sama, alamat IP pengunjung diteruskan ke server C2 tahap kedua sebagai parameter pemeriksaan berikutnya.

Dokumen yang dijatuhkan oleh C2 tahap pertama berisi makro berbahaya yang menghubungkan korban ke C2 tahap kedua, mengambil muatan tahap berikutnya, dan menjalankannya dengan proses mshta.exe.

Beberapa dokumen dikirim ke target (Kaspersky)

Payload adalah file .HTA yang juga membuat tugas terjadwal untuk eksekusi otomatis. Fungsinya untuk profil korban dengan memeriksa jalur folder ProgramFiles, nama AV, nama pengguna, versi OS, versi MS Office, versi .NET framework, dan banyak lagi.

Hasil sidik jari disimpan dalam string (“chnome”), salinan dikirim ke C2, dan muatan baru diambil dan didaftarkan dengan mekanisme persistensi.

Payload berikutnya adalah file VBS yang dapat membawa korban ke blog yang sah atau, jika targetnya valid, bawa mereka ke fase download payload berikutnya.

Ini adalah saat sistem korban diperiksa untuk keberadaan string “chnome” yang tidak biasa, yang sengaja salah eja untuk berfungsi sebagai validator unik yang masih tidak menimbulkan kecurigaan.

Proses infeksi terbaru Kimsuky (Kaspersky)

Sayangnya, Kaspersky tidak dapat melanjutkan dari sini dan mengambil payload tahap berikutnya, jadi apakah itu akan menjadi yang terakhir atau jika ada sebagian besar langkah validasi masih belum diketahui.

Kimsuky adalah aktor ancaman yang sangat canggih yang baru-baru ini terlihat menyebarkan malware khusus dan menggunakan ekstensi Google Chrome untuk mencuri email dari korban.

Kampanye yang disorot oleh Kaspersky menggambarkan teknik rumit yang digunakan oleh peretas Korea untuk menghalangi analisis dan membuat pelacakan mereka jauh lebih sulit.

Sumber:

Microsoft Mengungkap Malware Post-Compromise Baru yang Digunakan oleh Peretas Nobelium

by

Aktor ancaman di balik serangan rantai pasokan SolarWinds telah dikaitkan dengan malware pasca-eksploitasi “sangat bertarget” lainnya yang dapat digunakan untuk mempertahankan akses terus-menerus ke lingkungan yang disusupi.

Dijuluki MagicWeb oleh tim intelijen ancaman Microsoft, pengembangan ini menegaskan kembali komitmen Nobelium untuk mengembangkan dan memelihara kemampuan yang dibangun untuk tujuan tertentu.

Nobelium adalah moniker raksasa teknologi untuk sekelompok aktivitas yang terungkap dengan serangan canggih yang menargetkan SolarWinds pada Desember 2020, dan yang tumpang tindih dengan kelompok peretasan negara-bangsa Rusia yang dikenal luas sebagai APT29, Cozy Bear, atau The Dukes.

MagicWeb, yang memiliki kesamaan dengan alat lain yang disebut FoggyWeb, dinilai telah digunakan untuk mempertahankan akses dan mencegah penggusuran selama upaya perbaikan, tetapi hanya setelah memperoleh akses yang sangat istimewa ke lingkungan dan bergerak secara lateral ke server AD FS.

Sementara FoggyWeb hadir dengan kemampuan khusus untuk mengirimkan muatan tambahan dan mencuri informasi sensitif dari server Active Directory Federation Services (AD FS), MagicWeb adalah DLL jahat (versi backdoor dari “Microsoft.IdentityServer.Diagnostics.dll”) yang memfasilitasi akses rahasia ke sistem AD FS melalui bypass otentikasi.

Temuan ini muncul setelah pengungkapan kampanye yang dipimpin APT29 yang ditujukan pada organisasi yang berafiliasi dengan NATO dengan tujuan mengakses informasi kebijakan luar negeri.

Secara khusus, ini memerlukan penonaktifan fitur pencatatan perusahaan yang disebut Purview Audit (sebelumnya Audit Lanjutan) untuk mengumpulkan email dari akun Microsoft 365. “APT29 terus menunjukkan keamanan operasional dan taktik penghindaran yang luar biasa,” kata Mandiant.

Taktik lain yang lebih baru yang digunakan oleh aktor dalam operasi baru-baru ini adalah penggunaan serangan menebak kata sandi untuk mendapatkan kredensial yang terkait dengan akun yang tidak aktif dan mendaftarkannya untuk otentikasi multi-faktor, memberinya akses ke infrastruktur VPN organisasi.

APT29 tetap menjadi kelompok ancaman yang produktif seperti halnya terampil. Bulan lalu, Palo Alto Networks Unit 42 menandai kampanye phishing yang memanfaatkan layanan penyimpanan cloud Dropbox dan Google Drive untuk penyebaran malware dan tindakan pasca-kompromi lainnya.

Sumber :The Hackernews

Kampanye malware baru menarik semua pemberhentian untuk menghindari deteksi Play Store

by

Malware merupakan ancaman yang berkembang dan ada di mana-mana, dan terlepas dari upaya terbaik mereka, toko aplikasi seperti Google rentan untuk digunakan secara tidak sadar untuk distribusi.

Play Store secara teratur menghapus aplikasi dan melarang pengembang yang melanggar aturan yang dimaksudkan untuk menghentikan adware, spyware, malware, dan aplikasi mengganggu lainnya yang lebih baik bagi Anda tanpanya.

Kru di Bitdefender baru-baru ini mengidentifikasi 35 aplikasi yang menyalahgunakan metode ini untuk mempersulit Anda menemukan pelakunya yang bertanggung jawab atas spam iklan dan iklan berbahaya. Aplikasi telah mengumpulkan lebih dari dua juta unduhan gabungan.

Setelah diinstal, aplikasi ini mengganti namanya sendiri agar sesuai dengan aplikasi sistem seperti Pengaturan untuk membantu tetap tersembunyi.

Ikon mereka juga berubah secara otomatis untuk mencocokkan, dan mengetuk mengarahkan pengguna yang tidak curiga ke aplikasi Pengaturan sebenarnya di ponsel mereka.

Beberapa di antaranya meminta Anda untuk menonaktifkan pengoptimalan baterai dan memberikan izin untuk ditampilkan di atas aplikasi lain yang diharapkan menjadi tanda bahaya. Aplikasi dapat menyalahgunakan izin ini untuk memulai pemberitahuan layanan latar depan dan menyimulasikan klik pengguna pada iklan untuk keuntungan finansial.

Bitdefender mengatakan menggunakan teknologi perilaku real-time baru untuk mengidentifikasi adware. Berdasarkan pola dalam gaya penamaan aplikasi, email pengembang, dan situs web yang terdaftar, ia percaya semua aplikasi bisa menjadi hasil karya satu individu atau grup.

Para pakar keamanan menyarankan saran agar menghapus aplikasi yang tidak digunakan, tidak menginstal yang tidak benar-benar Anda butuhkan, dan waspada terhadap permintaan izin yang tidak biasa.

Sumber: Android Police

Peretas Korea Utara Menggunakan Malware macOS yang Ditandatangani untuk Menargetkan Pencari Kerja TI

by

Peretas Korea Utara dari grup Lazarus telah menggunakan executable berbahaya yang ditandatangani untuk macOS untuk meniru Coinbase dan memikat karyawan di sektor teknologi keuangan.

Meskipun tidak mengherankan bahwa mereka menargetkan pekerja di perusahaan Web3, detail tentang kampanye rekayasa sosial khusus ini sejauh ini terbatas pada malware untuk platform Windows.

Peretas Lazarus telah menggunakan tawaran pekerjaan palsu di masa lalu dan dalam operasi baru-baru ini mereka menggunakan malware yang disamarkan sebagai file PDF dengan detail tentang posisi di Coinbase.

Nama dokumen palsu itu adalah “Coinbase_online_careers_2022_07.” Saat diluncurkan, ini menampilkan PDF umpan di atas dan memuat DLL berbahaya yang pada akhirnya memungkinkan pelaku ancaman untuk mengirim perintah ke perangkat yang terinfeksi.

Peneliti keamanan di perusahaan keamanan siber ESET menemukan bahwa para peretas juga memiliki malware yang siap untuk sistem macOS. Mereka mengatakan bahwa file berbahaya dikompilasi untuk Mac dengan silikon Intel dan Apple, yang berarti bahwa pengguna model lama dan baru menjadi sasaran.

Di utas di Twitter, mereka mencatat bahwa malware menjatuhkan tiga file:
bundel FinderFontsUpdater.app
pengunduh safarifontagen
PDF umpan yang disebut PDF “Coinbase_online_careers_2022_07” (sama seperti malware Windows)
Kampanye serupa yang menargetkan pengguna macOS dan dikaitkan dengan Lazarus telah diidentifikasi tahun lalu. Pelaku ancaman mengandalkan taktik rekayasa sosial tawaran pekerjaan palsu yang sama tetapi menggunakan PDF yang berbeda.

ESET menautkan malware macOS baru-baru ini ke Operation In(ter)ception, kampanye Lazarus yang menargetkan organisasi kedirgantaraan dan militer profil tinggi dengan cara yang sama.

Melihat malware macOS, para peneliti memperhatikan bahwa itu ditandatangani pada 21 Juli (sesuai dengan nilai stempel waktu) dengan sertifikat yang dikeluarkan pada bulan Februari untuk pengembang menggunakan nama Shankey Nohria dan pengenal tim 264HFWQH63.

Pada 12 Agustus, sertifikat itu belum dicabut oleh Apple. Namun, aplikasi berbahaya tidak disahkan – proses otomatis yang digunakan Apple untuk memeriksa perangkat lunak untuk komponen berbahaya.

Dibandingkan dengan malware macOS sebelumnya yang dikaitkan dengan kelompok peretas Lazarus, peneliti ESET mengamati bahwa komponen pengunduh terhubung ke server perintah dan kontrol (C2) yang berbeda, yang tidak lagi merespons pada saat analisis.

Kelompok peretas Korea Utara telah lama dikaitkan dengan peretasan cryptocurrency serta menggunakan tawaran pekerjaan palsu dalam kampanye phishing yang bertujuan untuk menginfeksi target yang diminati.

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer