OS

240 lebih aplikasi Android tertangkap basah menampilkan iklan di luar konteks

October 9, 2020 by Winnie the Pooh

Google telah menghapus lebih dari 240 aplikasi Android dari Play Store resmi karena menampilkan iklan di luar konteks dan melanggar kebijakan Google yang baru diperkenalkan terhadap jenis iklan yang mengganggu ini.

Iklan di luar konteks (juga dikenal sebagai iklan di luar aplikasi) adalah iklan seluler yang ditampilkan di luar penampung normal aplikasi. Mereka dapat muncul sebagai popup atau sebagai iklan layar penuh.

Iklan di luar konteks dilarang di Play Store sejak Februari tahun ini, ketika Google melarang lebih dari 600 aplikasi yang menyalahgunakan praktik ini untuk mengirim spam kepada pengguna mereka dengan iklan yang mengganggu.

Penemuan terbaru ini datang dari firma pendeteksi penipuan iklan White Ops. Dalam sebuah posting blog, perusahaan mengatakan telah menemukan cluster baru lebih dari 240+ aplikasi Android yang membombardir penggunanya dengan iklan di luar konteks – tetapi dibuat agar terlihat seperti berasal dari aplikasi lain yang lebih sah.

White Ops menamai grup ini RainbowMix dan mengatakan telah mendeteksi tanda-tanda aktivitas pertama pada awal April tahun ini.

Menurut telemetri White Ops, sebagian besar aplikasi dipasang oleh pengguna di seluruh Amerika dan Asia, dengan negara teratas adalah:

20.8% – Brazil
19.7% – Indonesia
11.0% – Vietnam
7.7% – US
6.2% – Mexico
5.9% – Philippines

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Microsoft memperingatkan ransomware Android yang aktif saat Anda menekan tombol Home

October 9, 2020 by Winnie the Pooh

Jenis baru ransomware seluler menyalahgunakan mekanisme di balik pemberitahuan “panggilan masuk” dan tombol “Home” untuk mengunci layar pada perangkat pengguna.

Dinamakan AndroidOS/MalLocker.B, ransomware tersembunyi di dalam aplikasi Android yang ditawarkan untuk diunduh di forum online dan situs web pihak ketiga.

Sama seperti kebanyakan jenis ransomware Android, MalLocker.B tidak benar-benar mengenkripsi file korban tetapi hanya mencegah akses ke bagian telepon lainnya.

Setelah terpasang, ransomware mengambil alih layar ponsel dan mencegah pengguna menutup catatan tebusan – yang dirancang agar terlihat seperti pesan dari penegak hukum setempat yang memberi tahu pengguna bahwa mereka melakukan kejahatan dan perlu membayar denda.

Ransomware ini menggunakan mekanisme dua bagian untuk menampilkan catatan tebusannya.

Bagian pertama menyalahgunakan notifikasi “panggilan”. Ini adalah fungsi yang mengaktifkan panggilan masuk untuk menunjukkan detail tentang pemanggil, dan MalLocker.B menggunakannya untuk menampilkan jendela yang mencakup seluruh area layar dengan detail tentang panggilan masuk.

Bagian kedua menyalahgunakan function “onUserLeaveHint()”. Function ini dipanggil saat pengguna ingin mendorong aplikasi ke latar belakang dan beralih ke aplikasi baru, dan terpicu saat menekan tombol seperti Home atau Recent Apps. MalLocker.B menyalahgunakan function ini untuk menampilkan catatan tebusan kembali ke latar depan dan mencegah pengguna meninggalkan catatan tebusan untuk layar utama atau aplikasi lain.

Karena MalLocker.B berisi kode yang terlalu sederhana dan keras untuk melewati ulasan Play Store, pengguna disarankan untuk menghindari menginstal aplikasi Android dari lokasi pihak ketiga seperti forum, iklan situs web, atau toko aplikasi pihak ketiga yang tidak sah.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Upaya Google memperingatkan kelemahan keamanan Android di perangkat non-Pixel

October 5, 2020 by Winnie the Pooh

Google telah berupaya untuk meningkatkan keamanan Android, seperti mempercepat pembaruan dan menawarkan bug bounty, tetapi sekarang Google meningkatkannya dengan mengungkap kerentanan untuk perangkat lunak yang tidak ditulisnya.

Perusahaan raksasa itu telah meluncurkan Android Partner Vulnerability Initiative (melalui XDA-Developers) untuk mengelola kelemahan keamanan yang ditemukannya khusus untuk perangkat Android pihak ketiga.

Perusahaan menambahkan bahwa inisiatifnya telah mengatasi sejumlah masalah Android. Mereka tidak menyebutkan nama perusahaan dalam blognya, namun pelacak bug untuk program menyebutkan beberapa produsen.

Misalnya seperti, Huawei mengalami masalah dengan cadangan perangkat yang tidak aman pada tahun 2019. Ponsel Oppo dan Vivo memiliki kerentanan sideloading. ZTE memiliki kelemahan dalam layanan pesan dan pengisian otomatis browser. Vendor lain yang terpengaruh termasuk Meizu, pembuat chip MediaTek, Digitime, dan Transsion.

Google memberi tahu semua vendor sebelum mengungkapkan kekurangannya, dan sebagian besar, jika tidak semua, tampaknya telah diperbaiki.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Endgadget

Aplikasi Threema & Telegram palsu yang menyembunyikan spyware untuk serangan yang ditargetkan

October 5, 2020 by Winnie the Pooh

Dimulai dari sampel malware yang tidak banyak diketahui, peneliti keamanan melacak spyware Android baru yang didistribusikan melalui aplikasi perpesanan palsu seperti Threema, Telegram, dan WeMessage.

Pada April 2020, peneliti keamanan MalwareHunterTeam membuat tweet tentang spyware untuk Android yang memiliki tingkat deteksi sangat rendah di VirusTotal. Memeriksa sampel, para peneliti di ESET menemukan bahwa itu adalah bagian dari malware toolkit yang digunakan oleh aktor ancaman APT-C-23.

Sekitar dua bulan kemudian, pada bulan Juni, MalwareHunterTeam menemukan sampel baru dari malware yang sama yang disembunyikan di file instalasi aplikasi olahpesan Telegram yang tersedia dari DigitalApps, toko Android tidak resmi.

Karena solusi keamanan mereka termasuk di antara beberapa yang mendeteksi spyware baru dari APT-C-23, ESET mulai menyelidiki dan menemukan bahwa malware juga disembunyikan di aplikasi lain yang terdaftar di toko.

Mereka menemukannya di Threema, platform perpesanan yang aman, dan di AndroidUpdate, aplikasi yang menyamar sebagai pembaruan sistem untuk platform seluler.

Dengan Threema dan Telegram, korban akan mendapatkan fungsionalitas penuh dari aplikasi bersama dengan malware, sehingga menyembunyikan sifat jahat dari aplikasi palsu tersebut.

ESET mengamati bahwa daftar fitur sekarang mencakup kemungkinan aplikasi untuk membungkam pemberitahuan dari aplikasi keamanan yang terintegrasi dengan perangkat dari Samsung, Xiaomi, dan Huawei, memungkinkannya untuk tetap tersembunyi bahkan jika aktivitasnya terdeteksi.

Selain itu, spyware versi baru ini dapat membaca pemberitahuan dari aplikasi perpesanan (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), secara efektif mencuri pesan masuk.

Spyware juga dapat merekam layar (video dan gambar) serta panggilan masuk dan keluar melalui WhatsApp. Itu juga dapat melakukan panggilan secara diam-diam, dengan membuat overlay layar hitam yang meniru telepon yang tidak aktif.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Patch CVE-2020-1472 Netlogon Secure Channel sekarang!

October 3, 2020 by Winnie the Pooh

Netlogon Remote Protocol atau disebut MS-NRPC adalah antarmuka RPC yang digunakan secara eksklusif oleh perangkat yang bergabung dengan domain tertentu. MS-NRPC menyertakan metode otentikasi dan metode untuk membuat Netlogon secure channel. Pembaruan ini memberlakukan perilaku klien Netlogon tertentu untuk menggunakan Secure RPC dengan Netlogon Secure Channel antara komputer client dan Domain Controllers (DC) direktori aktif (AD).

Pembaruan keamanan ini mengatasi kerentanan dengan memberlakukan Secure RPC saat menggunakan Netlogon Secure Channel di rilis secara bertahap yang dijelaskan di bagian Pembaruan. Untuk memberikan perlindungan AD, semua DC harus diperbarui karena mereka akan memberlakukan Secure RPC dengan Netlogon Secure Channel. Ini termasuk read only domain controller (RODC).

Pada halaman advisori, Microsoft merilis langkah-langkah untuk menutup celah CVE-2020-1472 :

1.UPDATE Domain Controller anda dengan update yang dirilis pada 11 Agustus 2020 atau setelahnya.
2.CARI perangkat yang mempunyai celah melalui monitoring event log.
3.CATAT perangkat yang sudah tidak mendapatkan update karena riskan terhadap koneksi yang rentan.
4.AKTIFKAN enforcement mode untuk mengatasi CVE-2020-1472 dalam organisasi anda.

Harap segera patch perangkat anda pada situs resmi Microsoft disini.

Eksploitasi Microsoft Netlogon terus meningkat

October 3, 2020 by Winnie the Pooh Leave a Comment

Cisco Talos melacak lonjakan upaya eksploitasi terhadap kerentanan Microsoft CVE-2020-1472, peningkatan bug hak istimewa di Netlogon, yang diuraikan dalam laporan Microsoft Patch Tuesday Agustus. Kerentanan berasal dari cacat dalam skema otentikasi kriptografi yang digunakan oleh Netlogon Remote Protocol yang – antara lain – dapat digunakan untuk memperbarui sandi komputer dengan memalsukan token otentikasi untuk fungsionalitas Netlogon tertentu. Cacat ini memungkinkan penyerang meniru identitas komputer mana pun, termasuk pengontrol domain itu sendiri dan mendapatkan akses ke kredensial admin domain.

Ciri-ciri Netlogon:

Klien mengirimkan tantangan klien yang mencakup tantangan delapan byte.

Server merespons dengan tantangan server termasuk tantangan delapan byte-nya.

Klien dan server menghitung kunci sesi bersama

Klien mengenkripsi kunci sesi bersama yang menghasilkan kredensial klien

Server mengenkripsi kunci sesi bersama yang menghasilkan kredensial server

Microsoft saat ini menangani kerentanan ini dalam perilisan dua bagian mitigasi secara bertahap. Microsoft menguraikan rencananya dalam sebuah halaman advisori yang mengatakan, “Untuk pedoman tentang cara mengelola perubahan yang diperlukan untuk kerentanan ini dan informasi lebih lanjut tentang peluncuran bertahap, lihat Bagaimana mengelola perubahan dalam koneksi aman Netlogon yang terkait dengan CVE-2020-1472. Ketika fase kedua pembaruan Windows tersedia pada K1 2021, pelanggan akan diberi tahu melalui revisi kerentanan keamanan ini. Jika Anda ingin diberi tahu ketika pembaruan ini dirilis, kami menyarankan Anda mendaftar ke pengirim pemberitahuan keamanan agar diberi tahu tentang perubahan konten pada dokumen advisori ini. ”

Source : Cisco Talos

Bagaimana geng malware Cina menipu pengguna Facebook

October 2, 2020 by Winnie the Pooh

Pada konferensi keamanan Virus Bulletin 2020, anggota tim keamanan Facebook telah mengungkapkan detail mengenai salah satu operasi malware paling canggih yang pernah menargetkan pengguna Facebook.

Dikenal sebagai SilentFade, geng malware ini aktif antara akhir 2018 dan Februari 2019, ketika tim keamanan Facebook mendeteksi keberadaan mereka dan turun tangan untuk menghentikan serangan mereka.

SilentFade menggunakan kombinasi trojan Windows, injeksi browser, scripting cerdik, dan bug di platform Facebook, menunjukkan modus operandi canggih yang jarang terlihat dengan geng malware yang menargetkan platform Facebook.

Tujuan operasi SilentFade adalah untuk menginfeksi pengguna dengan trojan, membajak browser pengguna, dan mencuri kata sandi dan cookie browser sehingga mereka dapat mengakses akun Facebook.

Setelah memiliki akses, grup tersebut menelusuri akun yang memiliki jenis metode pembayaran apa pun yang dilampirkan ke profil mereka. Untuk akun ini, SilentFade membeli iklan Facebook dengan dana korban.

Meskipun beroperasi hanya selama beberapa bulan, Facebook mengatakan grup tersebut berhasil menipu pengguna yang terinfeksi lebih dari $4 juta, yang mereka gunakan untuk memposting iklan Facebook berbahaya di seluruh jejaring sosial.

Geng malware ini menyebarkan versi modern SilentFade dengan menggabungkannya dengan perangkat lunak resmi yang mereka tawarkan untuk diunduh secara online.

Setelah pengguna terinfeksi, trojan SilentFade akan mengambil kendali atas komputer Windows korban, namun alih-alih menyalahgunakan sistem untuk operasi yang lebih mengganggu, malware hanya mengganti file DLL yang sah di dalam instalasi browser dengan versi jahat dari DLL yang sama yang memungkinkan geng SilentFade untuk mengontrol browser.

Browser yang ditargetkan termasuk Chrome, Firefox, Internet Explorer, Opera, Edge, Orbitum, Amigo, Touch, Kometa, dan Browser Yandex.

Facebook juga mengatakan SilentFade adalah bagian dari tren yang lebih besar dan generasi baru pelaku kejahatan siber yang tampaknya tinggal di China dan terus-menerus menargetkan platformnya.

Berita selengkapnya dapat dilihat di tautan di bawah ini;
Source: ZDNet

Varian Spyware Android Mengintai di WhatsApp dan Telegram

October 1, 2020 by Winnie the Pooh

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OS

Cookies Settings