OS

Trojan perbankan TeaBot yang berbahaya menargetkan ratusan aplikasi keuangan

March 6, 2022 by Søren

Pakar keamanan siber dengan Cleafy baru-baru ini menerbitkan laporan baru tentang TeaBot yang seharusnya membuat pengguna Android waspada.

Tim menemukan bahwa ada lompatan besar dalam jumlah target TeaBot — setidaknya 400 aplikasi yang digunakan untuk perbankan, transaksi cryptocurrency, dan asuransi digital — dan malware tersebut mulai menargetkan korban di Rusia, Hong Kong, dan Amerika Serikat.

TeaBot beroperasi menggunakan “penipuan pada perangkat,” memanipulasi layanan aksesibilitas dan kemampuan streaming langsung perangkat yang terinfeksi dengan cara yang memungkinkan penyerang untuk berinteraksi dari jarak jauh dengan ponsel dan memantaunya melalui pencatatan kunci.

Salah satu inkarnasi terbarunya yang diketahui muncul melalui aplikasi kode QR di Play Store, berfungsi sebagai penetes seperti pil racun untuk malware.

Setelah diunduh, aplikasi mengeluarkan popup yang meminta Anda menginstal add-on. Meskipun itu bukan tanda bahaya, aplikasi yang tidak bersalah biasanya menginstal perangkat lunak semacam itu melalui Google Play Store, sementara yang ini mencoba menipu Anda untuk melakukan sideload.

Pengalihan seperti itu dapat menandakan kemungkinan adanya dropper trojan, dan di sini add-on berisi TeaBot.

Setelah masuk, malware mulai bekerja, mengakses izin untuk layanan aksesibilitas ponsel Anda, yang memungkinkannya menguasai layar Anda.

Kemudian dapat merekam hal-hal fatal seperti login, SMS, dan kode otentikasi dua faktor.

Jika Anda telah menginstal aplikasi ini, yang terdaftar sebagai produk “QR Barcode Scanner Bussiness [sic] LLC,” segera hapus untuk menghindari orang asing membeli siapa-tahu-apa dengan uang receh Anda (dan jujur, mungkin berpikir tentang pabrik penuh menghapus).

Selengkapnya: Android Police

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

March 3, 2022 by Winnie the Pooh

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Cacat Keamanan iOS Ini Perlu Ditangani Di Setiap Aplikasi

March 2, 2022 by Eevee

Cacat dalam cara iOS menangani pencopotan pemasangan aplikasi berarti bahwa data Rantai Kunci yang sensitif tidak dihapus saat konten pengguna aplikasi lainnya dihapus. Ini memengaruhi sebagian besar aplikasi, bahkan aplikasi yang tidak langsung menggunakan Keychain.

Saat pengguna mencopot pemasangan aplikasi dari iPhone atau iPad mereka, mereka benar-benar mengharapkan data aplikasi tersebut dihapus sepenuhnya. Namun, ternyata, iOS tidak menghapus beberapa data paling sensitif yang mungkin disimpan oleh aplikasi, termasuk kata sandi dan token keamanan. Data itu akan tetap ada di perangkat Anda setelah aplikasi dihapus.

Dan faktanya, pengguna tidak memiliki cara untuk menghapus data ini sama sekali, kecuali menghapus seluruh ponsel mereka. Ini dapat menyebabkan masalah perusak privasi lainnya. Bayangkan situasi di mana seseorang menghapus semua aplikasi mereka untuk menyerahkan telepon kepada orang lain.

Cara yang tepat untuk melakukan ini tentu saja adalah dengan menggunakan fungsi “Hapus iPhone”, tetapi tidak semua konsumen mengetahuinya, Mereka akan menganggap bahwa semua data mereka telah dihapus. Namun pada kenyataannya pengguna baru berpotensi memiliki akses ke semua akun pemilik sebelumnya hanya dengan menginstal ulang aplikasi yang relevan.

Sebagian besar aplikasi tidak menggunakan Keychain secara langsung, karena mereka menggunakan perpustakaan pihak ketiga yang berfungsi untuk mereka (Firebase misalnya). Cacat ini memengaruhi aplikasi apa pun yang menggunakan Keychain secara langsung atau tidak langsung.

Jadi hal terbaik berikutnya adalah menghapus data Keychain setiap kali Anda mendeteksi bahwa aplikasi telah diinstal ulang. Itu tidak akan mencegah data tidak aktif di ponsel Anda, tetapi itu akan mencegahnya digunakan saat seharusnya tidak.

Kode terlihat seperti ini untuk aplikasi SwiftUI:

struct MyApp: App {
init() {
// Find if this is a first run of a fresh install
let defaults = UserDefaults.standard

// If the “IsSubsequentRun” key doesn’t exist, it’s a fresh
// install
if !defaults.bool(forKey: “IsSubsequentRun”) {

// …so we delete the whole keychain
deleteEntireKeychain()

// And set the key to true, so we know it’s not a fresh
// install any more.
defaults.set(true, forKey: “IsSubsequentRun”)
}
}
}

Untuk aplikasi UIKit, kode di dalam init() seharusnya diletakkan di fungsi app(_:didFinishLaunchingWithOptions:) AppDelegate Anda.
Dalam kedua kasus tersebut, pastikan kode dijalankan sebelum menginisialisasi pustaka apa pun yang mungkin menggunakan data Rantai Kunci (seperti Firebase).
Terakhir, tambahkan fungsi berikut yang dapat digunakan untuk menghapus seluruh data Rantai Kunci aplikasi Anda:

import Security

…

func deleteEntireKeychain() {
let secItemClasses = [
kSecClassGenericPassword,
kSecClassInternetPassword,
kSecClassCertificate,
kSecClassKey,
kSecClassIdentity
]

// Query every item in each security class
for secItemClass in secItemClasses {
let query: NSDictionary = [
kSecClass: secItemClass,
kSecAttrSynchronizable: kSecAttrSynchronizableAny
]

// …and delete those items
SecItemDelete(query)
}
}

Ini adalah kelemahan keamanan yang merusak privasi. Ini menyebabkan data sensitif yang diharapkan pengguna telah dihapus, pada kenyataannya bertahan. Tidak ada solusi lengkap. Namun, kode di atas setidaknya akan menjamin bahwa data apa pun yang sebelumnya harus dihapus, tidak dapat digunakan di aplikasi Anda.

Sumber : Medium

Aplikasi Android gratis memungkinkan pengguna mendeteksi pelacakan Apple AirTag

March 1, 2022 by Eevee

Peneliti di Universitas Darmstadt di Jerman menerbitkan sebuah laporan yang menggambarkan bagaimana aplikasi AirGuard mereka untuk Android memberikan perlindungan yang lebih baik dari pengintaian AirTag yang tersembunyi daripada aplikasi lain.

Apple AirTag adalah pencari perangkat berbasis Bluetooth yang dirilis pada April 2021 yang memungkinkan pemilik melacak perangkat menggunakan layanan ‘Temukan Saya’ Apple.

Sayangnya, AirTag memiliki potensi penyalahgunaan yang besar karena ukurannya yang kecil karena orang dapat memasukkannya ke dalam jaket, koper, atau bahkan mobil orang untuk melacaknya tanpa izin.

Fitur-fitur ini bergantung pada pengidentifikasian pola penyalahgunaan, seperti memiliki AirTag di dekatnya yang dimiliki oleh akun Apple yang berbeda dan memberikan peringatan di iPhone korban.

Dalam kasus pengguna Android, masalahnya diperbesar karena Apple membiarkan mereka tanpa cara resmi untuk menemukan AirTags hingga Desember 2021, ketika merilis Tracker Detect di Play Store.

Tracker Detect, bagaimanapun, tidak ada artinya dibandingkan dengan rekan iOS-nya, karena hanya akan memberi tahu korban bahwa mereka dilacak jika diperintahkan untuk melakukan pemindaian manual, dan bahkan kemudian, sering kali melewatkan AirTags terdekat tanpa alasan yang jelas.

Para peneliti universitas memutuskan untuk melakukan sesuatu tentang masalah privasi Apple AirTag di dunia Android dan merekayasa balik deteksi pelacakan iOS untuk memahami cara kerja bagian dalamnya dengan lebih baik.

Mereka kemudian merancang aplikasi AirGuard, solusi anti-pelacakan deteksi otomatis dan pasif yang bekerja melawan semua aksesori Temukan Saya dan perangkat pelacak lainnya.

AirGuard menyajikan peringatan kepada pengguna yang dilacak (Arxiv.org)

Aplikasi ini dirilis pada Agustus 2021, dan sejak itu, telah mengumpulkan basis pengguna 120.000 orang. Itu dapat mendeteksi semua perangkat Temukan Saya, termasuk yang dibuat sendiri seperti AirTags yang dikloning atau dimodifikasi, sebagai alat pelacak paling tersembunyi.

Para peneliti sekarang telah mempublikasikan hasil tes dunia nyata mereka yang diambil dari eksperimen mereka dan diambil dari data komunitas dari mereka yang menggunakan aplikasi.

Perbandingan waktu penayangan lansiran (Arxiv.org)

Selain melayani peringatan pelacakan lebih cepat, AirGuard juga dapat mendeteksi pelacak yang ditempatkan di mobil, yang merupakan solusi paling sulit untuk digali, dan opsi penempatan pelacak terbaik untuk pelaku kejahatan.

Aplikasi AirGuard adalah perangkat lunak sumber terbuka yang tersedia secara gratis melalui Google Play Store, sehingga kodenya terbuka untuk diteliti, dan kemungkinan aplikasi tersebut dicampur dengan malware sangat kecil.

Namun, Anda harus mencatat bahwa aplikasi ini meminta beberapa izin berisiko untuk berfungsi pada ponsel cerdas Anda, yang merupakan bagian integral dari penyediaan layanan yang dijanjikan.

Sumber : Bleeping Computer

Hp Android kamu bisa jadi ada stalkerware, ini cara menghilangkannya

February 24, 2022 by Eevee

kerentanan keamanan di salah satu operasi spyware tingkat konsumen terbesar saat ini membahayakan data telepon pribadi sekitar 400.000 orang, jumlah yang terus bertambah setiap hari. Operasi, yang diidentifikasi oleh TechCrunch, dijalankan oleh sekelompok kecil pengembang di Vietnam tetapi belum memperbaiki masalah keamanan.

Aplikasi spyware tingkat konsumen sering dijual dengan kedok perangkat lunak pelacakan anak tetapi juga dikenal sebagai “penguntit” karena kemampuannya untuk melacak dan memantau pasangan atau pasangan tanpa persetujuan mereka. Aplikasi ini diunduh dari luar toko aplikasi Google Play, ditanam di ponsel tanpa izin dan dirancang untuk menghilang dari layar beranda untuk menghindari deteksi. Anda mungkin melihat ponsel Anda bertindak tidak biasa, atau berjalan lebih hangat atau lebih lambat dari biasanya, bahkan saat Anda tidak menggunakannya secara aktif.

Karena armada aplikasi penguntit ini mengandalkan penyalahgunaan fitur bawaan Android yang lebih umum digunakan oleh pemberi kerja untuk mengelola telepon kantor karyawan mereka dari jarak jauh, pemeriksaan untuk melihat apakah perangkat Android Anda disusupi dapat dilakukan dengan cepat dan mudah.

Panduan dibawah ini hanya akan menghapus aplikasi spyware, tidak menghapus data yang telah dikumpulkan dan diunggah ke servernya. Selain itu, beberapa versi Android mungkin memiliki opsi menu yang sedikit berbeda.

Periksa setelan Google Play Protect Anda

Google Play Protect adalah salah satu perlindungan terbaik untuk melindungi dari aplikasi Android berbahaya, baik pihak ketiga maupun di app store. Tetapi ketika dimatikan, perlindungan tersebut berhenti, dan stalkerware atau malware dapat diinstal pada perangkat di luar Google Play.

Periksa apakah layanan aksesibilitas telah dirusak
Jika Anda tidak mengenali layanan yang diunduh di opsi Aksesibilitas, Anda mungkin ingin menghapusnya. Banyak aplikasi penguntit disamarkan sebagai aplikasi biasa yang disebut “Aksesibilitas” atau “Kesehatan Perangkat”.

Spyware Android sering menyalahgunakan fitur aksesibilitas bawaan. Kredit Gambar: TechCrunch

Periksa apakah aplikasi admin perangkat telah diinstal
Opsi admin perangkat memiliki akses yang serupa tetapi bahkan lebih luas ke Android sebagai fitur aksesibilitas. Opsi admin perangkat ini dirancang untuk digunakan oleh perusahaan untuk mengelola ponsel karyawan dari jarak jauh, menonaktifkan fitur, dan menghapus data untuk mencegah kehilangan data. Tetapi mereka juga mengizinkan aplikasi penguntit untuk merekam layar dan mengintai pemilik perangkat.

Item yang tidak dikenal di pengaturan aplikasi admin perangkat Anda adalah indikator umum dari penyusupan telepon. Kredit Gambar: TechCrunch

Periksa aplikasi yang akan dicopot pemasangannya
Buka pengaturan Android Anda, lalu lihat aplikasi Anda. Cari aplikasi yang tidak berbahaya seperti “Device Health” atau “System Service”, dengan ikon yang tampak umum. Aplikasi ini akan memiliki akses luas ke kalender, log panggilan, kamera, kontak, dan lokasi Anda.

Aplikasi spyware sering kali memiliki ikon yang tampak umum. Kredit Gambar: TechCrunch

Jika Anda melihat aplikasi di sini yang tidak Anda kenali atau belum Anda instal, Anda dapat menekan Uninstall. Perhatikan bahwa ini kemungkinan akan mengingatkan orang yang menanam stalkerware bahwa aplikasi tersebut tidak lagi diinstal.

Amankan ponsel Anda
Jika stalkerware ditanam di ponsel Anda, ada kemungkinan besar ponsel Anda tidak terkunci, tidak terlindungi, atau kunci layar Anda dapat ditebak atau dipelajari. Kata sandi layar kunci yang lebih kuat dapat membantu melindungi ponsel Anda dari calon penguntit. Anda juga harus melindungi email dan akun online lainnya menggunakan otentikasi dua faktor jika memungkinkan.

Sumber : TechCrunch

Malware Android Xenomorph baru menargetkan pelanggan dari 56 bank

February 22, 2022 by Eevee

Malware baru bernama Xenomorph yang didistribusikan melalui Google Play Store telah menginfeksi lebih dari 50.000 perangkat Android untuk mencuri informasi perbankan.

Xenomorph menyasar pengguna puluhan lembaga keuangan di Spanyol, Portugal, Italia, dan Belgia. ThreatFabric menganalisis Xenomorph menemukan kode yang mirip dengan trojan perbankan Alien

Kesamaan kode antara Xenomorph dan Alien (ThreatFabric)

Trojan perbankan seperti Xenomorph bertujuan untuk mencuri informasi keuangan yang sensitif, mengambil alih akun, melakukan transaksi yang tidak sah, dan operator kemudian menjual data yang dicuri kepada pembeli yang tertarik.

Malware Xenomorph memasuki Google Play Store melalui aplikasi peningkatan kinerja umum seperti “Pembersih Cepat”, yang menghitung 50.000 instalasi.

Untuk menghindari penolakan selama peninjauan aplikasi dari Play Store, Fast Cleaner mengambil muatan setelah penginstalan, sehingga aplikasi bersih pada waktu pengiriman.

Pembersih Cepat di Play Store (ThreatFabric)

Fungsionalitas Xenomorph tidak sepenuhnya berkembang pada saat ini, karena trojan sedang dalam pengembangan yang berat. Namun, itu masih merupakan ancaman yang signifikan karena dapat memenuhi tujuan mencuri informasi dan menargetkan tidak kurang dari 56 bank Eropa yang berbeda.

Misalnya, malware dapat mencegat notifikasi, mencatat SMS, dan menggunakan suntikan untuk melakukan serangan overlay, sehingga malware tersebut sudah dapat mengambil kredensial dan kata sandi satu kali yang digunakan untuk melindungi rekening perbankan.

Setelah penginstalannya, tindakan pertama yang diambil oleh aplikasi adalah mengirim kembali daftar paket yang diinstal pada perangkat yang terinfeksi untuk memuat overlay yang sesuai.

Untuk mencapai hal di atas, malware meminta pemberian izin Layanan Aksesibilitas saat penginstalan, dan kemudian menyalahgunakan hak istimewa untuk memberikan izin tambahan sesuai kebutuhan.

Aplikasi Trojan yang meminta izin Aksesibilitas (ThreatFabric)

Contoh perintah yang ada dalam kode tetapi belum diimplementasikan mengacu pada fungsi keylogging dan pengumpulan data perilaku.

Mesin Aksesibilitasnya sangat detail, dan dirancang dengan pendekatan modular. Ini berisi modul untuk setiap tindakan spesifik yang diperlukan oleh bot, dan dapat dengan mudah diperluas untuk mendukung lebih banyak fungsi. Tidak mengherankan melihat kemampuan bot sport semi-ATS ini dalam waktu dekat.

ThreatFabric menilai bahwa Xenomorph bukanlah ancaman yang kuat saat ini karena statusnya “dalam pengembangan”. Namun, pada waktunya, ia dapat mencapai potensi penuhnya, “sebanding dengan trojan Perbankan Android modern lainnya.”

Sumber :

Pengembang Linux menambal lubang keamanan lebih cepat daripada siapa pun, kata Google Project Zero

February 20, 2022 by Søren

Ada banyak FUD tentang bagaimana Linux baru-baru ini terbukti kurang aman daripada sistem berpemilik. Itu tidak masuk akal. Tapi, sekarang ada fakta keras dari Project Zero Google, tim peneliti keamanan Google, yang menunjukkan bahwa pengembang Linux melakukan pekerjaan yang lebih cepat untuk memperbaiki bug keamanan daripada siapa pun, termasuk Google.

Project Zero melihat bug yang diperbaiki yang telah dilaporkan antara Januari 2019 dan Desember 2021. Para peneliti menemukan bahwa programmer open-source memperbaiki masalah Linux rata-rata hanya dalam 25 hari. Selain itu, pengembang Linux telah meningkatkan kecepatan mereka dalam menambal lubang keamanan dari 32 hari di tahun 2019 menjadi hanya 15 hari di tahun 2021.

Persaingannya tidak terlalu bagus. Misalnya, Apple, 69 hari; Google, 44 hari; dan Mozilla, 46 hari. Masuk di bagian bawah adalah Microsoft, 83 hari, dan Oracle, meskipun hanya dengan sedikit masalah keamanan, dengan 109 hari. Menurut hitungan Project Zero, yang lain, yang terutama mencakup organisasi dan perusahaan open-source seperti Apache, Canonical, Github, dan Kubernetes, masuk dengan 44 hari yang terhormat.

Umumnya, semua orang semakin cepat dalam memperbaiki bug keamanan. Pada tahun 2021, vendor membutuhkan waktu rata-rata 52 hari untuk memperbaiki kerentanan keamanan yang dilaporkan. Hanya tiga tahun yang lalu rata-rata adalah 80 hari. Secara khusus, kru Project Zero mencatat bahwa Microsoft, Apple, dan Linux semuanya secara signifikan mengurangi waktu mereka untuk memperbaiki selama dua tahun terakhir.

Selengkapnya: ZDNet

Kerentanan dalam program Linux memungkinkan eskalasi hak istimewa lokal, lapor peneliti

February 19, 2022 by Søren

Kerentanan yang baru diungkapkan dalam program Linux dapat dieksploitasi untuk peningkatan hak istimewa lokal — dan pada akhirnya untuk memperoleh hak akses root, kata peneliti di vendor keamanan siber Qualys hari ini.

Kerentanan (CVE-2021-44731) — yang memengaruhi sistem Snap Canonical untuk mengemas dan menyebarkan perangkat lunak — tidak dapat dieksploitasi dari jarak jauh. Namun, “jika penyerang dapat masuk sebagai pengguna yang tidak memiliki hak istimewa, kerentanan dapat dengan cepat dieksploitasi untuk mendapatkan hak akses root,” kata para peneliti dalam sebuah posting blog.

Snap digunakan untuk sistem operasi berbasis Linux seperti Ubuntu, dan paketnya disebut sebagai “snaps.” Platform snap “telah dikembangkan untuk membawa instalasi aplikasi yang aman ke Ubuntu dan distribusi Linux lainnya,” kata Canonical dalam sebuah pernyataan yang diberikan kepada VentureBeat pada hari Kamis.

Melalui publikasi Pengembang XDA baru-baru ini, “Aplikasi Snap lebih portabel daripada perangkat lunak Linux tradisional, dan kebanyakan dari mereka dikemas untuk mencegah beberapa masalah keamanan umum.”

Alat untuk menggunakan snap, sementara itu, disebut snapd – dan alat ini bekerja “di berbagai distribusi Linux dan memungkinkan pengembang perangkat lunak hulu untuk mendistribusikan aplikasi mereka langsung ke pengguna,” kata peneliti Qualys dalam posting tersebut.

Selengkapnya: Venture Beat

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings