Malware

Malware Android menyusup ke 60 aplikasi Google Play dengan 100 juta pemasangan

April 16, 2023 by Mally

Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.

Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.

Beberapa aplikasi yang terpengaruh adalah:

L.POINT with L.PAY
Swipe Brick Breaker
Money Manager Expense & Budget
GOM Player
LIVE Score, Real-Time Score
Pikicast
Compass 9: Smart Compass
GOM Audio – Music, Sync lyrics
LOTTE WORLD Magicpass
Infinite Slice
Bounce Brick Breaker
Korea Subway Info: Metroid
SomNote

Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.

Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.

“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.

“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”

Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.

Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.

selengkapnya : bleepingcomputer.com

FBI Memperingatkan Agar Tidak Menggunakan Stasiun Pengisian Telepon Umum

April 12, 2023 by Mally

FBI dan Komisi Komunikasi Federal memperingatkan tentang ‘Juice Jacking’, dimana aktor jahat menggunakan pengisi daya publik untuk menginfeksi ponsel dan perangkat dengan malware.

Badan penegak hukum juga menghimbau konsumen untuk menghindari penggunaan pengisi daya publik di mal dan bandara, dan tetap menggunakan kabel USB dan colokan pengisi daya mereka sendiri.

Pelaku kejahatan yang berhasil membajak pengisi daya umum, dapat menginfeksi perangkat dengan malware, atau perangkat lunak yang dapat memberikan akses peretas ke ponsel, tablet, atau komputer.

Perangkat konsumen dengan kabel USB yang dikompromikan dapat dibajak melalui perangkat lunak yang kemudian dapat menyedot nama pengguna dan kata sandi, FCC memperingatkan pada saat itu. Komisi mengatakan kepada konsumen untuk menghindari stasiun publik tersebut.

Dalam mendukung hal ini, FBI menawarkan panduan serupa di situs webnya untuk menghindari tuntutan publik.

Selengkapnya: CNBC

Lebih dari 1 Juta Situs WordPress Terinfeksi oleh Kampanye Malware Balada Injector

April 12, 2023 by Mally

Kampanye besar-besaran, per GoDaddy’s Sucuri, ‘memanfaatkan semua kerentanan tema dan plugin yang diketahui dan baru ditemukan’ untuk menembus situs WordPress. Serangan tersebut diketahui terjadi secara bergelombang setiap beberapa minggu sekali.

Peneliti keamanan, Denis Sinegubko.h, mengatakan bahwa kampanye tersebut mudah diidentifikasi dengan preferensinya untuk kebingungan String.fromCharCode, penggunaan nama domain yang baru terdaftar yang menghosting skrip berbahaya di subdomain acak, dan dengan mengalihkan ke berbagai situs scam.

Situs web tersebut menyertakan dukungan teknis palsu, kemenangan lotre penipuan, dan laman CAPTCHA nakal yang mendesak pengguna untuk mengaktifkan pemberitahuan perizinan untuk memverifikasi bahwa Anda bukan robot, sehingga memungkinkan pelaku mengirimkan iklan spam.

Pada tahun-tahun sementara, Balada Injector telah mengandalkan lebih dari 100 domain dan sejumlah besar metode untuk memanfaatkan kelemahan yang diketahui dengan penyerang terutama berusaha mendapatkan kredensial basis data di wp-config. file php.

Serangan juga direkayasa untuk membaca atau mengunduh file situs arbitrer serta mencari alat seperti adminer dan phpmyadmin yang mungkin ditinggalkan oleh administrator situs setelah menyelesaikan tugas pemeliharaan.

Pada akhirnya malware memungkinkan pembuatan pengguna admin WordPress palsu, memanen data yang disimpan di host yang mendasarinya, dan meninggalkan backdoor untuk akses terus-menerus.

Balada Injector selanjutnya melakukan pencarian luas dari direktori tingkat atas yang terkait dengan sistem file situs web yang disusupi untuk menemukan direktori yang dapat ditulis milik situs lain.

Jika jalur serangan tidak tersedia, kata sandi admin dipaksa menggunakan 74 kredensial yang telah ditentukan sebelumnya. Sehingga pengguna WordPress disarankan untuk rutin memperbarui perangkat lunak situs web mereka, menghapus plugin dan tema yang tidak digunakan, dan menggunakan kata sandi admin WordPress yang kuat.

Selengkapnya: The Hacker News

Peneliti Spiderlabs Memperingatkan Jenis Malware Baru yang Menguras Dana Crypto

April 9, 2023 by Mally

Para peneliti di Trustwave Spiderlabs baru-baru ini mengatakan mereka menemukan jenis malware baru yang secara sembunyi-sembunyi menarik dana dari dompet kripto. Menurut para peneliti, malware, yang dikenal sebagai Rilide, dianggap menyamar sebagai ekstensi Google Drive yang sah. Selain memberi penjahat dunia maya kemampuan untuk memantau riwayat penelusuran korban yang ditargetkan, Rilide memungkinkan injeksi “skrip berbahaya untuk mencuri dana dari pertukaran mata uang kripto.”

Dalam postingan blog mereka yang dipublikasikan pada 4 April, dua peneliti Pawel Knapczyk dan Wojciech Cieslak mengakui bahwa Rilide bukanlah malware pertama yang menggunakan ekstensi browser berbahaya. Namun, para peneliti mengatakan mereka telah melihat bagaimana malware menipu pengguna sebelum menguras dana dari dompet crypto masing-masing.

Sementara langkah-langkah seperti penegakan yang tertunda dari apa yang disebut manifes v3 diharapkan membuat hidup sedikit lebih sulit bagi penjahat dunia maya, Knapczyk dan Cieslak menegaskan bahwa ini saja mungkin tidak cukup “untuk menyelesaikan masalah sepenuhnya karena sebagian besar fungsi dimanfaatkan oleh Rilide akan tetap tersedia.”

Sementara itu, dalam peringatan mereka kepada pengguna, kedua peneliti tersebut menegaskan kembali pentingnya tetap “waspada dan skeptis” setiap kali mereka menerima email yang tidak diinginkan. Mereka menambahkan bahwa pengguna tidak boleh berasumsi bahwa konten apa pun di internet aman, meskipun tampaknya demikian. Demikian pula, pengguna harus selalu berusaha untuk tetap mendapat informasi dan terdidik tentang peristiwa terbaru dalam industri keamanan siber.

selengkapnya : news.bitcoin.com

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

April 7, 2023 by Mally

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

April 5, 2023 by Mally

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

Malware Crypto-Stealing ‘OpcJacker’ Menargetkan Pengguna dengan Layanan VPN Palsu

April 4, 2023 by Mally

Malware pencuri informasi baru ‘OpcJacker’ telah terlihat sejak paruh kedua tahun 2022 sebagai bagian dari kampanye malvertising.

Peneliti Trend Micro, Jaromir Horejsi dan Joseph C. Chen, mengatakan bahwa fungsi utama OpcJacker meliputi keylogging, mengambil screenshot, mencuri data sensitif dari browser, memuat modul tambahan, dan mengganti alamat cryptocurrency di clipboard untuk tujuan pembajakan.

OpcJacker disembunyikan menggunakan crypter ‘Babadeda’ dan menggunakan file konfigurasi untuk mengaktifkan fungsi pengambilan datanya.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, mampu mengirimkan muatan tahap selanjutnya.

Vektor awal kampanye melibatkan jaringan situs web palsu yang mengiklankan perangkat lunak yang tampak aman dan aplikasi terkait cryptocurrency. Kampanye Februari 2023 secara khusus memilih pengguna di Iran dengan dalih menawarkan layanan VPN.

Temuan itu muncul ketika Securonix mengungkapkan rincian kampanye serangan yang sedang berlangsung ‘TACTICAL#OCTOPUS’, menargetkan entitas AS dengan bujukan bertema pajak untuk menginfeksi mereka dengan backdoor.

Dalam perkembangan terkait, pengguna Italia dan Prancis yang mencari versi retak dari perangkat lunak pemeliharaan PC di YouTube dialihkan ke halaman Blogger yang mendistribusikan dropper NullMixer. NullMixer juga menonjol karena secara bersamaan menjatuhkan berbagai macam malware siap pakai.

Selengkapnya: The Hacker News

GoatRAT Menyerang Sistem Pembayaran Otomatis

April 3, 2023 by Mally

Baru-baru ini, para peneliti dari K7Security Labs menemukan deteksi dalam laporan telemetri “com.goatmw” yang menarik perhatian mereka, dan memutuskan untuk menyelidiki lebih lanjut. Malware tersebut ditemukan sebagai trojan perbankan.

Trojan perbankan GoatRAT adalah Alat Administrasi Jarak Jauh Android untuk mendapatkan akses dan mengontrol perangkat yang ditargetkan yang melakukan transaksi uang palsu menggunakan kunci PIX. Domain goatrat[.]com berfungsi sebagai panel admin dan berisi id telegram di kontaknya.

RAT kemudian meminta pengguna untuk memberikan izin aksesibilitas dan overlay, memungkinkan untuk menampilkan layar overlay pada aplikasi perbankan yang ditargetkan, membuatnya terlihat seperti layar aplikasi yang sah sehingga pengguna memasukkan kredensial yang valid tanpa curiga, untuk melakukan transfer uang penipuan.

Saat aplikasi yang ditargetkan dibuka, malware menampilkan jendela overlay yang muncul di atas aplikasi perbankan yang sah. Layar overlay akan mendapatkan semua kredensial valid, mengirimkannya ke C2, dan memulai transfer uang berdasarkan saldo bank yang tersedia di akun pengguna.

Trojan Perbankan Android meningkat pesat. Pembuat malware menemukan teknik baru untuk mencuri uang dari pengguna. Salah satu teknik tersebut terlihat mengeksploitasi platform pembayaran instan PIX yang menargetkan bank Brasil.

GoatRAT menggunakan kerangka Sistem Transfer Otomatis (ATS) untuk melakukan transaksi uang palsu. ATS adalah teknik baru yang digunakan oleh malware perbankan di mana setelah pengguna masuk ke aplikasi perbankan dan memasukkan kredensial mereka, malware akan mengambil kendali dan secara otomatis memasukkan jumlah dan memulai transaksi tanpa sepengetahuan pengguna.

Pengguna diminta untuk menginstal produk keamanan terkemuka seperti “K7 Mobile Security” dan terus memperbaruinya agar tetap aman dari ancaman tersebut.

Selengkapnya: K7 Security Labs

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware

Cookies Settings