Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for OS

OS

Malware perbankan Android menyadap panggilan ke dukungan pelanggan

by

Trojan perbankan untuk Android yang oleh para peneliti disebut Fakecalls hadir dengan kemampuan canggih yang memungkinkannya mengambil alih panggilan ke nomor dukungan pelanggan bank dan menghubungkan korban secara langsung dengan penjahat dunia maya yang mengoperasikan malware.

Menyamar sebagai aplikasi seluler dari bank populer, Fakecalls menampilkan semua tanda entitas yang ditirunya, termasuk logo resmi dan nomor dukungan pelanggan.

Ketika korban mencoba menelepon bank, malware memutuskan koneksi dan menunjukkan layar panggilannya, yang hampir tidak bisa dibedakan dari yang asli.

Antarmuka panggilan malware mobile banking palsu (sumber: Kaspersky)

Trojan mobile banking palsu dapat melakukan ini karena pada saat instalasi meminta beberapa izin yang memberikan akses ke daftar kontak, mikrofon, kamera, geolokasi, dan penanganan panggilan.

Malware muncul tahun lalu dan terlihat menargetkan pengguna di Korea Selatan, pelanggan bank populer seperti KakaoBank atau Kookmin Bank (KB), peneliti keamanan di Kaspersky mencatat dalam sebuah laporan hari ini.

Kaspersky menganalisis malware tersebut dan menemukan bahwa malware tersebut juga dapat memutar pesan yang telah direkam sebelumnya yang meniru pesan yang biasanya digunakan oleh bank untuk menyambut pelanggan yang mencari dukungan:

Kode di Fakecalls untuk memutar audio yang telah direkam sebelumnya (sumber: Kaspersky)

Pengembang malware mencatat beberapa frasa yang biasa digunakan oleh bank untuk memberi tahu pelanggan bahwa operator akan menerima panggilan mereka segera setelah tersedia.

Di bawah ini adalah dua contoh audio yang telah direkam sebelumnya (dalam bahasa Korea) yang dimainkan oleh malware Fakecalls untuk membuat tipu muslihat lebih realistis:

Halo. Terima kasih telah menelepon KakaoBank. Pusat panggilan kami saat ini menerima panggilan dengan volume yang luar biasa besar. Seorang konsultan akan berbicara kepada Anda sesegera mungkin. Untuk meningkatkan kualitas layanan, percakapan Anda akan direkam.

Selamat datang di Kookmin Bank. Percakapan Anda akan direkam. Kami sekarang akan menghubungkan Anda dengan operator.

Peneliti Kaspersky mengatakan bahwa malware juga dapat memalsukan panggilan masuk, memungkinkan penjahat dunia maya untuk menghubungi korban seolah-olah mereka adalah layanan dukungan pelanggan bank.

Izin yang diminta malware saat penginstalan memungkinkan penjahat dunia maya untuk memata-matai korban dengan menyiarkan audio dan video secara real-time dari perangkat, melihat lokasinya, menyalin file (kontak, file seperti foto dan video), dan riwayat pesan teks.

Rekomendasi Kaspersky untuk menghindari menjadi korban malware semacam itu termasuk mengunduh aplikasi hanya dari toko resmi, dan memperhatikan izin yang berpotensi berbahaya yang diminta aplikasi (akses ke panggilan, SMS, aksesibilitas), terutama jika aplikasi tidak membutuhkannya.

Selain itu, para peneliti menyarankan pengguna untuk tidak membagikan informasi rahasia melalui telepon (kredensial login, PIN, kode keamanan kartu, kode konfirmasi).

Sumber : Bleeping Computer

Malware Qbot beralih ke vektor infeksi Pemasang Windows baru

by

Botnet Qbot sekarang mendorong muatan malware melalui email phishing dengan lampiran arsip ZIP yang dilindungi kata sandi yang berisi paket Penginstal Windows MSI yang berbahaya.

Ini adalah pertama kalinya operator Qbot menggunakan taktik ini, beralih dari cara standar mereka mengirimkan malware melalui email phishing yang menjatuhkan dokumen Microsoft Office dengan makro berbahaya pada perangkat target.

Peneliti keamanan menduga langkah ini mungkin merupakan reaksi langsung terhadap Microsoft yang mengumumkan rencana untuk membunuh pengiriman malware melalui makro VBA Office pada bulan Februari setelah menonaktifkan makro Excel 4.0 (XLM) secara default pada bulan Januari.

Microsoft telah mulai meluncurkan fitur blokir otomatis makro VBA ke pengguna Office untuk Windows pada awal April 2022, dimulai dengan Versi 2203 di Saluran Saat Ini (Pratinjau) dan ke saluran rilis lain dan versi yang lebih lama nanti.

“Perlu dicatat bahwa sementara ancaman menggunakan makro Excel 4.0 sebagai upaya untuk menghindari deteksi, fitur ini sekarang dinonaktifkan secara default dan dengan demikian mengharuskan pengguna untuk mengaktifkannya secara manual agar ancaman tersebut dapat dieksekusi dengan benar.”

Ini adalah peningkatan keamanan yang signifikan untuk melindungi pelanggan Office karena menggunakan makro VBA berbahaya yang disematkan dalam dokumen Office adalah metode umum untuk mendorong berbagai jenis malware dalam serangan phishing, termasuk Qbot, Emotet, TrickBot, dan Dridex.

Qbot (juga dikenal sebagai Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan fitur worm yang digunakan setidaknya sejak 2007 untuk mencuri kredensial perbankan, informasi pribadi, dan data keuangan, serta untuk menjatuhkan backdoors pada komputer yang disusupi dan menyebarkan Cobalt Suar pemogokan.

Malware ini juga dikenal menginfeksi perangkat lain di jaringan yang disusupi menggunakan eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Meskipun aktif selama lebih dari satu dekade, malware Qbot terutama digunakan dalam serangan yang sangat ditargetkan terhadap entitas perusahaan karena mereka memberikan pengembalian investasi yang lebih tinggi.

Beberapa geng ransomware, termasuk REvil, Egregor, ProLock, PwndLocker, dan MegaCortex, juga telah menggunakan Qbot untuk menembus jaringan perusahaan.

Karena infeksi Qbot dapat menyebabkan infeksi berbahaya dan serangan yang sangat mengganggu, admin TI dan profesional keamanan harus terbiasa dengan malware ini, taktik yang digunakan untuk menyebar ke seluruh jaringan, dan yang digunakan oleh operator botnet untuk mengirimkannya ke target baru.

Sumber : Bleeping Computer

Microsoft tidak akan memberikan pembaruan keamanan lagi jika Anda tidak memutakhirkan Windows 10 versi 20H2 di bulan berikutnya

by

Microsoft menekan siapa saja yang bergantung dengan Windows versi lama.

Perusahaan ini mengakhiri dukungan untuk Windows 10 versi 20H2 hanya dalam beberapa minggu, yang berarti bahwa siapa pun yang gagal memutakhirkan tidak akan lagi menerima pembaruan keamanan. Microsoft, tentu saja, ingin pengguna meningkatkan ke Windows 11, tetapi ini bukan satu-satunya pilihan.

Secara keseluruhan, ada empat edisi Windows 10 yang mencapai akhir dukungan secara bersamaan. Rilis Home, Pro, Education, dan Pro for Workstation Windows 10 versi 20H2 semuanya mencapai akhir layanan pada 10 Mei 2022, hanya satu bulan dari sekarang.

Dalam artikel dukungan, Microsoft menyarankan pengguna:

Windows 10, versi 20H2 akan mencapai akhir layanan pada 10 Mei 2022. Ini berlaku untuk edisi* Windows 10 berikut yang dirilis pada Oktober 2020:

– Windows 10 Home, versi 20H2

– Windows 10 Pro, versi 20H2

– Windows 10 Pro Education, versi 20H2

– Windows 10 Pro untuk Workstation, versi 20H2

Edisi ini tidak akan lagi menerima pembaruan keamanan setelah 10 Mei 2022.

Perusahaan menunjukkan bahwa: “Pelanggan yang menghubungi Dukungan Microsoft setelah tanggal ini akan diarahkan untuk memperbarui perangkat mereka ke versi terbaru Windows 10 agar tetap didukung”.

Dengan Microsoft yang secara paksa menginstal Windows 10 versi 21H2 di komputer sejak awal tahun, dan sistem ini akan didukung untuk beberapa waktu ke depan. Namun, untuk waktu dukungan terlama, peningkatan ke Windows 11 diperlukan, meskipun persyaratan perangkat keras berarti bahwa ini tidak akan menjadi pilihan untuk semua orang.

Sumber : Beta News

Malware Android “Octo” ingin mendapatkan informasi perbankan Anda

by

Peneliti keamanan siber Threat Fabric mengetahui tentang Octo dari melihat permintaannya di web gelap. Threat Fabric menemukan bahwa Octo memiliki banyak kesamaan dengan ExobotCompact, termasuk langkah-langkah untuk mencegah rekayasa balik malware dan pengkodean yang membuatnya mudah disembunyikan di dalam aplikasi yang tampak tidak bersalah di Google Play Store — serta trik penonaktifan yang rapi Google Protect saat diunduh.

Untuk menjalankan ODF, Octo menyelinap masuk melalui layanan Aksesibilitas dan mengatur jumlah streaming langsung ke server perintah dan kontrol penyerang yang diperbarui setiap detik dari ponsel yang disusupi.

Kemudian menggunakan layar hitam dan menonaktifkan notifikasi untuk mengaburkan apa yang sedang dilakukan dari pengguna yang tidak bersalah. Jadi pada dasarnya, sepertinya perangkat Anda telah dimatikan, tetapi malware mengadakan pesta saat layar kosong, dan melakukan sejumlah tugas seperti menggulir, mengetuk, mengirim teks, dan memotong dan menempel.

Octo juga menggunakan perangkat lunak keylogging untuk melacak semua jenis pengguna yang diretas ke dalam perangkat (seperti PIN, nomor jaminan sosial, pesan OnlyFans), dan mampu memblokir pemberitahuan push oleh aplikasi tertentu dan mencegat atau mengirim teks.

Seperti yang ditunjukkan oleh Bleeping Computer dan Threat Fabric, perangkat lunak berbahaya menjadi lebih licik dengan setiap evolusi baru, menambahkan fitur seperti penghindaran otentikasi multi-faktor. Sangat mudah untuk merasa benar-benar terbuka.

Kewaspadaan adalah kunci dalam melindungi diri Anda dan data Anda. Tetap terinformasi tentang ancaman terbaru dan perbarui perangkat Anda dengan patch keamanan terbaru.

Selengkapnya: Android Police

Aplikasi Android dengan 45 juta pemasangan menggunakan SDK pengumpulan data

by

Analis malware seluler memperingatkan tentang serangkaian aplikasi yang tersedia di Google Play Store, yang mengumpulkan data sensitif pengguna dari lebih dari 45 juta pemasangan aplikasi.

Aplikasi mengumpulkan data ini melalui SDK pihak ketiga yang mencakup kemampuan untuk menangkap konten clipboard, data GPS, alamat email, nomor telepon, dan bahkan alamat MAC router modem pengguna dan SSID jaringan.

Data sensitif ini dapat menyebabkan risiko privasi yang signifikan bagi pengguna jika disalahgunakan atau bocor karena keamanan server/database yang buruk.

Selain itu, konten clipboard berpotensi mencakup informasi yang sangat sensitif, termasuk benih pemulihan dompet kripto, kata sandi, atau nomor kartu kredit, yang tidak boleh disimpan dalam database pihak ketiga.

Menurut AppCensus, yang menemukan penggunaan SDK ini, data yang dikumpulkan digabungkan dan dikirimkan oleh SDK ke domain “mobile.measurelib.com”, yang tampaknya dimiliki oleh perusahaan analitik yang berbasis di Panama bernama Sistem Pengukuran.

Cuplikan dari situs Sistem Pengukuran

Perusahaan mempromosikan SDK pengumpulan data bernama Coelib sebagai peluang monetisasi untuk aplikasi, mempromosikannya sebagai cara bebas iklan bagi penerbit untuk menghasilkan pendapatan.

Peneliti AppCensus mengatakan bahwa banyak string di perpustakaan SDK dikaburkan menggunakan enkripsi AES dan kemudian dikodekan base64.

Pseudocode dekripsi runtime konstan string SDK
(AppSensus)

Aplikasi paling populer dan diunduh yang ditemukan menggunakan SDK ini untuk mengirim data sensitif pengguna adalah sebagai berikut:

  • Speed ​​Camera Radar – 10 juta instalasi (nomor telepon, IMEI, SSID router, alamat MAC router)
  • Al-Moazin Lite – 10 juta instalasi (nomor telepon, IMEI, router SSID, alamat MAC router)
  • WiFi Mouse – 10 juta instalasi (alamat MAC router)
  • QR & Barcode Scanner – 5 juta pemasangan (nomor telepon, alamat email, IMEI, data GPS, SSID router, alamat MAC router)

Selengkapnya : Bleeping Computer

Penting untuk dicatat bahwa semua aplikasi ini dilaporkan ke Google pada 20 Oktober 2021, dan kemudian diselidiki dan dihapus dari Play Store.

Namun, penerbit mereka berhasil memperkenalkannya kembali di Play Store setelah menghapus SDK pengumpulan data dan mengirimkan versi baru yang diperbarui ke Google untuk ditinjau.

Namun, jika pengguna menginstal aplikasi pada tanggal sebelumnya, SDK akan tetap berjalan di ponsel cerdas mereka, jadi penghapusan dan penginstalan ulang akan disarankan dalam kasus ini.

Sayangnya, karena perpustakaan pengumpulan data berjalan diam-diam di latar belakang mengumpulkan data, sulit bagi pengguna untuk melindungi diri mereka sendiri darinya. Oleh karena itu, disarankan agar Anda hanya menginstal aplikasi dari pengembang tepercaya yang memiliki sejarah panjang aplikasi yang sangat ditinjau.

Praktik baik lainnya adalah menjaga jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin dan memastikan bahwa izin yang diminta tidak terlalu luas.

Segera setelah kami dapat mengonfirmasi bahwa SDK yang dimiliki oleh Measurementsys mengeksploitasi beberapa kerentanan Android, beroperasi dengan cara yang tidak jelas dan privasi dipertanyakan, kami segera menghapus SDK yang rusak, merilis pembaruan, dan mengakhiri hubungan kami dengan mitra ini.

Sumber : Bleeping Computer

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

by

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Ulasan pengguna di Play Store

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Detail aplikasi di Play Store

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Cacat Windows zero-day yang memberikan hak admin mendapat tambalan tidak resmi, lagi

by

Kerentanan zero-day eskalasi hak istimewa lokal Windows yang gagal ditangani sepenuhnya oleh Microsoft selama beberapa bulan sekarang, memungkinkan pengguna untuk mendapatkan hak administratif di Windows 10, Windows 11, dan Windows Server.

Kerentanan yang dieksploitasi secara lokal di Layanan Profil Pengguna Windows dilacak sebagai CVE-2021-34484 dan diberi skor CVSS v3 7,8. Sementara eksploitasi telah diungkapkan kepada publik di masa lalu, mereka diyakini tidak dieksploitasi secara aktif di alam liar.

Menurut tim 0patch, yang secara tidak resmi menyediakan perbaikan untuk versi Windows yang dihentikan dan beberapa kerentanan yang tidak akan ditangani oleh Microsoft, kelemahannya masih nol hari. Faktanya, tambalan Microsoft gagal memperbaiki bug dan memecahkan tambalan tidak resmi 0patch sebelumnya.

Naceri memperhatikan bahwa patch Microsoft tidak lengkap dan menyajikan bukti konsep (PoC) yang melewatinya di semua versi Windows.

CVE-2021-34484 Eksploitasi meluncurkan prompt perintah yang ditinggikan dengan hak istimewa SISTEM
Sumber: BleepingComputer

Tim 0patch merilis pembaruan keamanan tidak resmi untuk semua versi Windows dan membuatnya gratis untuk diunduh untuk semua pengguna terdaftar.

Microsoft juga menanggapi pintasan ini dengan pembaruan keamanan kedua yang dirilis dengan Patch Selasa Selasa 2022 Januari, memberikan pintasan ID pelacakan baru sebagai CVE-2022-21919 dan menandainya sebagai diperbaiki. Namun, Naceri menemukan cara untuk melewati perbaikan itu sambil berkomentar bahwa upaya ini lebih buruk daripada yang pertama.

Saat menguji patch mereka terhadap bypass kedua peneliti, 0patch menemukan bahwa patch mereka ke “profext.dll” DLL masih melindungi pengguna dari metode eksploitasi baru, yang memungkinkan sistem tersebut tetap aman.

Namun, upaya perbaikan kedua Microsoft menggantikan file “profext.dll”, yang mengarah pada penghapusan perbaikan tidak resmi dari semua orang yang telah menerapkan pembaruan Windows pada Januari 2022.

0patch sekarang telah mem-porting perbaikan untuk bekerja dengan pembaruan Patch Tuesday Maret 2022 dan membuatnya tersedia secara gratis untuk semua pengguna terdaftar.

Versi Windows yang dapat memanfaatkan patch mikro baru adalah sebagai berikut:

  • Windows 10 v21H1 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v20H2 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows 10 v1909 (32 & 64 bit) diperbarui dengan Pembaruan Maret 2022
  • Windows Server 2019 64 bit diperbarui dengan Pembaruan Maret 2022

Perlu dicatat bahwa Windows 10 1803, Windows 10 1809, dan Windows 10 2004 masih dilindungi oleh patch asli 0patch, karena perangkat tersebut telah mencapai akhir dukungan dan tidak menerima pembaruan Microsoft yang menggantikan DLL.

Patch mikro akan tetap tersedia sebagai unduhan gratis untuk pengguna versi Windows di atas selama Microsoft belum merilis perbaikan lengkap untuk masalah LPE tertentu dan semua pintasannya.

Link untuk mengunduh : 0patch

Sumber : Bleeping Computer

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

by

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica