Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware Android baru di Google Play dipasang 3 juta kali

by

Keluarga malware Android baru di Google Play Store yang secara diam-diam membuat pengguna berlangganan layanan premium telah diunduh lebih dari 3.000.000 kali.

Malware bernama ‘Autolycos’, ditemukan oleh peneliti keamanan Evina, Maxime Ingrao, berada di setidaknya delapan aplikasi Android, dua di antaranya masih tersedia di Google Play Store pada saat penulisan ini.

Dua aplikasi yang masih tersedia diberi nama ‘Funny Camera’ oleh KellyTech, yang memiliki lebih dari 500.000 pemasangan, dan ‘Razer Keyboard & Tema’ oleh rxcheldiolola, yang menghitung lebih dari 50.000 pemasangan di Play Store.

Aplikasi Kamera Lucu di Play Store

Enam aplikasi yang tersisa telah dihapus dari Google Play Store, tetapi mereka yang masih menginstalnya berisiko dikenai biaya berlangganan yang mahal oleh aktivitas malware.

  • Vlog Star Video Editor (com.vlog.star.video.editor) – 1 juta unduhan
  • Creative 3D Launcher (app.launcher.creative3d) – 1 juta unduhan
  • Wow Beauty Camera (com.wowbeauty.camera) – 100.000 unduhan
  • Gif Emoji Keyboard (com.gif.emoji.keyboard) – 100.000 unduhan
  • Freeglow Camera 1.0.0 (com.glow.camera.open) – 5.000 unduhan
  • Coco Camera v1.1 (com.toomore.cool.camera) –1.000 unduhan

Selama diskusi dengan Ingrao, peneliti mengatakan bahwa ia menemukan aplikasi pada Juni 2021 dan melaporkan temuannya ke Google pada saat itu.

Meskipun Google mengakui menerima laporan itu, butuh waktu enam bulan bagi perusahaan untuk menghapus enam set, sementara dua aplikasi berbahaya tetap ada di Play Store hingga hari ini.

Setelah sekian lama berlalu sejak pelaporan awal, peneliti mengungkapkan temuannya kepada publik.

Autolycos adalah malware yang melakukan perilaku berbahaya diam-diam seperti mengeksekusi URL pada browser jarak jauh dan kemudian menyertakan hasilnya dalam permintaan HTTP alih-alih menggunakan Webview.

Perilaku ini dimaksudkan untuk membuat tindakannya kurang terlihat dan dengan demikian tidak terdeteksi oleh pengguna perangkat yang disusupi.

Dalam banyak kasus, aplikasi jahat meminta izin untuk membaca konten SMS saat dipasang di perangkat, memungkinkan aplikasi mengakses pesan teks SMS korban.

Untuk mempromosikan aplikasi kepada pengguna baru, operator Autolycos membuat banyak kampanye iklan di media sosial. Untuk Razer Keyboard & Theme saja, Ingrao menghitung 74 kampanye iklan di Facebook.

Selain itu, sementara beberapa aplikasi berbahaya mengalami ulasan negatif yang tak terhindarkan di Play Store, aplikasi dengan unduhan lebih sedikit mempertahankan peringkat pengguna yang baik karena ulasan bot.

Agar tetap aman dari ancaman ini, pengguna Android harus memantau data internet latar belakang dan konsumsi baterai, tetap mengaktifkan Play Protect, dan mencoba meminimalkan jumlah aplikasi yang mereka instal di ponsel cerdas mereka.

Pembaruan 13/7/2022: Google telah menghapus dua aplikasi adware yang tersisa dari Play Store segera setelah publikasi posting ini.

Sumber: Bleeping Computer

Malware Siluman OrBit Mencuri Data dari Perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk diam-diam mencuri informasi dari sistem Linux backdoored dan menginfeksi semua proses yang berjalan di mesin.

Malware ini membajak library bersama untuk mencegat fungsi panggilan dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat memperoleh persistensi menggunakan dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan volatil saat disalin dalam shim-memory.

Hal itu juga dapat dikaitkan dengan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan ketekunan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang sedang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan memfilter apa yang dicatat.

Meskipun komponen pipet dan muatan OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware telah memperbarui produk mereka untuk memperingatkan pelanggan tentang keberadaannya.

“Malware ini mencuri informasi dari berbagai perintah dan kegunaan dan menyimpannya dalam file tertentu di mesin. Selain itu, ada penggunaan file yang luas untuk menyimpan data, sesuatu yang belum pernah terlihat sebelumnya,” tambah Fishbein.

“Apa yang membuat malware ini sangat menarik adalah pengait library pada mesin korban, yang memungkinkan malware untuk mendapatkan persistensi dan menghindari deteksi sambil mencuri informasi dan mengatur pintu belakang SSH.”

Sumber: BleepingComputer

Malware OrBit siluman baru mencuri data dari perangkat Linux

by

Malware Linux yang baru ditemukan digunakan untuk mencuri informasi secara diam-diam dari sistem Linux backdoor dan menginfeksi semua proses yang berjalan di mesin.

Dijuluki OrBit oleh peneliti keamanan Intezer Labs yang pertama kali melihatnya, malware ini membajak pustaka bersama untuk mencegat panggilan fungsi dengan memodifikasi variabel lingkungan LD_PRELOAD pada perangkat yang disusupi.

Meskipun dapat dua metode berbeda untuk memblokir upaya penghapusan, OrBit juga dapat digunakan sebagai implan yang mudah menguap saat disalin dalam memori-shim.

Itu juga dapat menghubungkan berbagai fungsi untuk menghindari deteksi, mengontrol perilaku proses, mempertahankan kegigihan dengan menginfeksi proses baru, dan menyembunyikan aktivitas jaringan yang akan mengungkapkan keberadaannya.

Misalnya, setelah menyuntikkan ke dalam proses yang berjalan, OrBit dapat memanipulasi outputnya untuk menyembunyikan jejak keberadaannya dengan menyaring apa yang dicatat.

Meskipun komponen dropper dan payload OrBit sama sekali tidak terdeteksi oleh mesin antivirus ketika malware pertama kali terlihat, beberapa vendor anti-malware sejak itu memperbarui produk mereka untuk memperingatkan pelanggan akan keberadaannya.

Payload OrBit tidak terdeteksi di VirusTotal (Intezer Labs)

OrBit bukan malware Linux pertama yang sangat mengelak yang muncul baru-baru ini, yang mampu menggunakan pendekatan serupa untuk sepenuhnya berkompromi dan perangkat backdoor.

Symbiote juga menggunakan direktif LD_PRELOAD untuk memuat dirinya sendiri ke dalam proses yang berjalan, bertindak sebagai parasit di seluruh sistem dan tidak meninggalkan tanda-tanda infeksi.

BPPFDoor, malware lain yang baru-baru ini terlihat menargetkan sistem Linux, menyamarkan dirinya dengan menggunakan nama-nama daemon Linux umum, yang membantunya tetap tidak terdeteksi selama lebih dari lima tahun.

Kedua jenis ini menggunakan fungsi pengait BPF (Berkeley Packet Filter) untuk memantau dan memanipulasi lalu lintas jaringan yang membantu menyembunyikan saluran komunikasi mereka dari alat keamanan.

Malware Linux ketiga, rootkit dalam pengembangan berat yang dijuluki Syslogk dan diluncurkan oleh peneliti Avast bulan lalu, dapat memuat modulnya sendiri secara paksa ke dalam kernel Linux, mesin backdoor yang disusupi, dan menyembunyikan direktori dan lalu lintas jaringan untuk menghindari deteksi.

Meskipun bukan jenis malware pertama atau paling orisinal yang menargetkan Linux akhir-akhir ini, OrBit masih hadir dengan bagian kemampuannya yang membedakannya dari ancaman lainnya.

Sumber: Bleeping Computer

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

by

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

Kaspersky Mengungkapkan Backdoor yang Menargetkan Banyak Organisasi di Seluruh Dunia

by

Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.

Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.

“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”

Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.

Sumber: PCMag

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Backdoor ‘SessionManager’ Baru Menargetkan Server Microsoft IIS di Alam Liar

by

Malware yang baru ditemukan telah digunakan di alam liar setidaknya sejak Maret 2021 ke server Microsoft Exchange pintu belakang milik berbagai entitas di seluruh dunia, dengan infeksi yang masih ada di 20 organisasi pada Juni 2022.

Dijuluki SessionManager, alat jahat menyamar sebagai modul untuk Layanan Informasi Internet (IIS), perangkat lunak server web untuk sistem Windows, setelah mengeksploitasi salah satu kelemahan ProxyLogon dalam server Exchange.

Target termasuk 24 LSM, pemerintah, militer, dan organisasi industri yang berbeda yang mencakup Afrika, Amerika Selatan, Asia, Eropa, Rusia, dan Timur Tengah. Total 34 server telah disusupi oleh varian SessionManager hingga saat ini.

Ini jauh dari pertama kalinya teknik ini diamati dalam serangan dunia nyata. Penggunaan modul IIS nakal sebagai sarana untuk mendistribusikan implan tersembunyi memiliki gema dalam pencuri kredensial Outlook yang disebut Owowa yang terungkap pada Desember 2021.

“Menjatuhkan modul IIS sebagai pintu belakang memungkinkan pelaku ancaman untuk mempertahankan akses yang persisten, tahan pembaruan, dan relatif tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan; baik itu untuk mengumpulkan email, memperbarui akses jahat lebih lanjut, atau secara sembunyi-sembunyi mengelola server yang disusupi yang dapat dimanfaatkan sebagai infrastruktur berbahaya,” kata peneliti Kaspersky, Pierre Delcher.

ProxyLogon, sejak pengungkapannya pada Maret 2021, telah menarik perhatian berulang kali dari beberapa pelaku ancaman dengan kru Gelsemium mengeksploitasi kelemahan untuk menjatuhkan SessionManager, sebuah pintu belakang yang dikodekan dalam C++ dan direkayasa untuk memproses HTTP permintaan dikirim ke server.

“Modul jahat seperti itu biasanya mengharapkan permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya,” Delcher dijelaskan.

Dikatakan sebagai “pintu belakang akses awal persisten yang ringan,” SessionManager hadir dengan kemampuan untuk membaca, menulis, dan menghapus file arbitrer; mengeksekusi binari dari server; dan membangun komunikasi dengan titik akhir lain dalam jaringan.

Malware ini selanjutnya bertindak sebagai saluran rahasia untuk melakukan pengintaian, mengumpulkan kata sandi dalam memori, dan mengirimkan alat tambahan seperti Mimikatz serta utilitas dump memori dari Avast.

Temuan ini muncul saat Badan Keamanan Siber dan Infrastruktur AS (CISA) mendesak lembaga pemerintah dan entitas sektor swasta yang menggunakan platform Exchange untuk beralih dari metode Otentikasi Dasar lama ke alternatif Otentikasi Modern sebelum dihentikan pada 1 Oktober 2022.

Sumber: The Hacker News

Server Microsoft Exchange di Seluruh Dunia Di-backdoor dengan Malware Baru

by Leave a Comment

Penyerang menggunakan malware yang baru ditemukan untuk mem-backdoor server Microsoft Exchange milik pemerintah dan organisasi militer dari Eropa, Timur Tengah, Asia, dan Afrika.

Malware, yang dijuluki SessionManager oleh peneliti keamanan di Kaspersky, yang pertama kali terlihat pada awal 2022 adalah modul kode asli berbahaya untuk perangkat lunak server web Internet Information Services (IIS) Microsoft.

“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” Kaspersky mengungkapkan pada hari Kamis.

“Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”

Kemampuan SessionManager mencakup, di antara fitur-fitur lainnya:

  • menjatuhkan dan mengelola file arbitrer di server yang disusupi
  • eksekusi perintah jarak jauh pada perangkat pintu belakang
  • menghubungkan ke titik akhir dalam jaringan lokal korban dan memanipulasi lalu lintas jaringan

Setelah penyebaran, modul IIS yang berbahaya memungkinkan operatornya untuk mengambil kredensial dari memori sistem, mengumpulkan informasi dari jaringan korban dan perangkat yang terinfeksi, dan mengirimkan muatan tambahan (seperti pemuat reflektif Mimikatz berbasis PowerSploit, Mimikatz SSP, ProcDump, dan alat pembuangan memori Avast yang sah).

Tautan grup APT Gelsemium

Berdasarkan viktimologi serupa dan penggunaan varian pintu belakang tipe server HTTP yang disebut OwlProxy, pakar keamanan Kaspersky percaya bahwa pintu belakang SessionManager IIS dimanfaatkan dalam serangan ini oleh aktor ancaman Gelsemium sebagai bagian dari operasi spionase di seluruh dunia.

Grup peretasan ini telah aktif setidaknya sejak 2014 dan dikenal menargetkan pemerintah, produsen elektronik, dan universitas dari Asia Timur dan Timur Tengah dan sebagian besar terbang di bawah radar.
“Eksploitasi kerentanan server pertukaran telah menjadi favorit penjahat dunia maya yang ingin masuk ke infrastruktur yang ditargetkan sejak Q1 2021. SessionManager yang baru ditemukan tidak terdeteksi dengan baik selama satu tahun dan masih digunakan di alam liar,” tambah Pierre Delcher, Peneliti Keamanan Senior di GREAT Kaspersky.

Sumber: BleepingComputer