Software / Application

Tim Microsoft Diincar Oleh Trojan yang Mengambil Alih Perangkat

February 19, 2022 by Søren

Pelaku ancaman menargetkan pengguna Microsoft Teams dengan menanam dokumen berbahaya di utas obrolan yang mengeksekusi Trojan yang pada akhirnya dapat mengambil alih mesin pengguna akhir, menurut temuan para peneliti.

Pada bulan Januari, para peneliti di Avanan, sebuah Perusahaan Check Point, mulai melacak kampanye, yang menjatuhkan file berbahaya yang dapat dieksekusi dalam percakapan Teams yang, ketika diklik, akhirnya mengambil alih komputer pengguna, menurut laporan yang diterbitkan Kamis.

“Menggunakan file yang dapat dieksekusi, atau file yang berisi instruksi untuk dieksekusi sistem, peretas dapat menginstal file DLL dan memungkinkan program untuk mengatur sendiri dan mengambil kendali atas komputer,” tulis peneliti dan analis keamanan siber di Avanan Jeremy Fuchs dalam sebuah laporan. “Dengan melampirkan file ke serangan Teams, peretas telah menemukan cara baru untuk menargetkan jutaan pengguna dengan mudah.”

Penjahat dunia maya telah lama menargetkan suite pembuatan dan berbagi dokumen Microsoft yang ada di mana-mana – Office lawas dan versi berbasis cloud-nya, Office 365 – dengan serangan terhadap aplikasi individual dalam suite seperti PowerPoint serta kompromi email bisnis dan penipuan lainnya.

Sekarang Microsoft Teams – rangkaian komunikasi dan kolaborasi bisnis – muncul sebagai permukaan serangan yang semakin populer bagi penjahat dunia maya, kata Fuchs.

Minat ini dapat dikaitkan dengan lonjakan penggunaannya selama pandemi COVID-19, karena banyak karyawan organisasi yang bekerja dari jarak jauh mengandalkan aplikasi untuk berkolaborasi. Memang, jumlah pengguna aktif harian Teams hampir dua kali lipat selama setahun terakhir, meningkat dari 75 juta pengguna pada April 2020 menjadi 145 juta pada kuartal kedua 2021, menurut Statista.

Selengkapnya: Threat Post

Peneliti membuat eksploitasi untuk bug Magento yang kritis, saran pembaruan Adobe

February 18, 2022 by Eevee

Peneliti keamanan telah membuat kode eksploit untuk CVE-2022-24086, kerentanan kritis yang memengaruhi AdobeCommerce dan Magento Open Source yang ditambal oleh Adobe dalam pembaruan out-of-band Minggu lalu.

Kerentanan, yang dilihat Adobe sebagai “dieksploitasi di alam liar dalam serangan yang sangat terbatas,” menerima skor keparahan 9,8 dari 10 dan musuh yang mengeksploitasinya dapat mencapai eksekusi kode jarak jauh pada sistem yang terpengaruh tanpa perlu mengautentikasi.

Sebelumnya hari ini, Adobe memperbarui penasehat keamanannya untuk CVE-2022-24086 menambahkan masalah baru yang sekarang dilacak sebagai CVE-2022-24087, yang memiliki skor keparahan yang sama dan dapat menyebabkan hasil yang sama ketika dimanfaatkan dalam serangan.

Keduanya merupakan kerentanan Validasi Input yang Tidak Tepat dan perusahaan merilis tambalan untuk Adobe Commerce dan Magento Open Source untuk mengatasi dua masalah keamanan tersebut.

Dalam sebuah tweet hari ini, Tim Ofensif dari perusahaan keamanan siber Positive Technologies mengumumkan bahwa mereka menciptakan eksploitasi yang andal untuk CVE-2022-24086.

Para peneliti mengatakan kepada BleepingComputer bahwa penyerang yang memanfaatkan bug bisa mendapatkan “akses penuh ke sistem target dengan hak server web.”

Mereka memperingatkan bahwa mencoba memblokir upaya eksploitasi dengan menyiapkan firewall aplikasi web (WAF) bukanlah solusi yang andal karena ada banyak cara untuk memanfaatkan bug, “tanpa konstruksi spesifik dan tidak dapat dilepas dalam permintaan.”

Peneliti Positive Technologies memberi tahu kami bahwa mengembangkan “eksploitasi lengkap adalah tugas yang cukup sulit” jika detail teknis tidak tersedia. Namun, setelah hambatan ini dihilangkan, menyerang target yang rentan “cukup mudah dan sederhana.”

Toko online adalah target utama bagi peretas yang didorong secara finansial yang mengincar data kartu pembayaran, biasanya ditangkap oleh skimmer web – skrip berbahaya yang disuntikkan ke dalam formulir pembayaran.

Selain itu, seperti yang dicatat Adobe, beberapa pelaku ancaman sudah memanfaatkan CVE-2022-2408 dalam serangan terbatas. Menurut perkiraan para peneliti, ada lebih dari 17.000 situs web yang rentan, beberapa di antaranya dari “bisnis besar”.

Para peneliti mengatakan bahwa mereka tidak memiliki rencana untuk mempublikasikan kode eksploitasi proof-of concept (PoC) yang mereka buat atau untuk membagikannya secara pribadi dalam industri infosec.

Keputusan ini terutama dimotivasi oleh sejumlah besar situs web yang menjalankan produk Adobe Commerce dan Magento yang belum ditambal.

Sumber : Bleeping Computer

Berapa Lama Sebelum VPN Dihentikan?

February 18, 2022 by Eevee

Sebuah survei CFO Gartner mengungkapkan 74% organisasi berencana untuk menjaga setidaknya sebagian dari karyawan mereka secara permanen jauh. Itu saja seharusnya sudah menjamin pasar VPN yang berkembang di masa depan. Namun, Gartner juga menunjukkan bahwa 60% perusahaan akan menghapus sebagian besar VPN akses jarak jauh mereka secara bertahap dalam beberapa tahun.

Serangan siber yang memanfaatkan kerentanan zero day meningkat sebesar 1916% dan 1527% untuk dua penyedia VPN perusahaan terkemuka. Lonjakan serangan siber baru-baru ini yang melibatkan VPN, ditambah dengan hilangnya produktivitas berbasis latensi dan biaya dukungan VPN yang tinggi, mengikis kepercayaan yang dimiliki organisasi terhadap VPN.

VPN pada dasarnya tidak memiliki kelincahan yang dibutuhkan untuk melindungi perangkat seluler koneksi VPN disetel ulang setiap kali pengguna mengganti jaringan yang terhubung dengan mereka dan juga setiap kali mereka menghidupkan perangkat seluler mereka dari mode tidur. Semua koneksi ulang ini membebani sumber daya jaringan, memengaruhi kinerja kerja, dan produktivitas karyawan, sesuatu yang tidak disukai bisnis modern.

VPN juga tidak cocok dengan kebijakan BYOD (bawa perangkat Anda sendiri) karena mereka sering menggunakan sertifikat autentikasi yang ada di perangkat tertentu yang biasanya milik perusahaan. Saat karyawan terus berpindah di antara beberapa perangkat untuk bekerja, VPN gagal mengejar semuanya dengan mulus. VPN tidak memberikan kontrol granular atas kebijakan keamanan karena pendekatan keamanannya yang sederhana, semua atau tidak sama sekali. Ketika kontraktor independen dan vendor pihak ketiga lainnya memerlukan akses ke beberapa sumber daya internal saja, VPN memberikan akses ke seluruh jaringan secara default.

Akhirnya, cloud secara efektif menjadi hukuman mati bagi VPN. Sekarang data tidak sepenuhnya berada dalam batas-batas jaringan perusahaan yang dilindungi oleh firewall perusahaan, terowongan aman VPN tidak dirancang untuk memperluas keamanannya ke semua tempat di mana data didistribusikan. Perusahaan modern memiliki sumber daya di cloud serta di edge, sehingga mereka membutuhkan ekosistem keamanan yang meresap seperti jejak TI mereka.

Bisnis harus memiliki kemampuan untuk memperluas perimeter keamanan mereka secara dinamis ke hampir di mana saja aset dan pekerja penting mereka berada. Untuk itu, mereka membutuhkan pola pikir keamanan di mana-mana yang mencakup BYOD, pekerja jarak jauh, sumber daya cloud, vendor pihak ketiga, dan inti jaringan juga.

Untuk itu, bisnis perlu melepaskan VPN lama mereka demi solusi mutakhir seperti SWG (gerbang web aman) untuk melindungi pengguna dan perangkat yang terhubung ke internet dan menegakkan kebijakan penggunaan yang dapat diterima untuk internet, CASB (keamanan akses cloud broker) untuk memperluas kebijakan keamanan dan akses ke aplikasi berbasis cloud mereka dan ZTNA (akses jaringan tanpa kepercayaan) untuk memverifikasi setiap pengguna sebelum memberikan akses ke aset penting bahkan jika mereka sudah berada di dalam perimeter jaringan aman.

Layanan dan kontrol yang diperlukan bisnis modern ini membuat tumpukan keamanan yang kompleks dengan banyak vendor dan manajemen yang sulit, karena setiap kontrol keamanan yang ditambahkan bisnis ke jaringannya pada dasarnya akan meningkatkan permukaan serangannya, menjadikannya lebih rentan. SASE (secure access service edge) berpotensi mengisi celah karena mengintegrasikan jaringan dengan kontrol keamanan yang disebutkan di atas. Gartner telah memprediksi kebangkitan SASE selama beberapa tahun sekarang. Namun, seperti teknologi baru lainnya, ada keraguan dan bahkan skeptisisme seputar adopsi model keamanan yang lebih baru.

Meskipun banyak yang tidak mau mengakuinya, VPN tidak cukup memenuhi tantangan keamanan masa depan. Faktor penentu bagi banyak bisnis mungkin adalah investasi yang telah mereka buat dan harus mereka lakukan untuk melanjutkan perjalanan transformasi mereka.

Sumber : Info Security

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

February 9, 2022 by Eevee

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Miliarder Investor Facebook Peter Thiel Diam-diam Mendanai Startup ‘Cyber Warfare’ yang Meretas WhatsApp

February 3, 2022 by Eevee

Sejak didirikan pada tahun 2017 di San Diego, startup Boldend tetap low profile. Itu karena, menurut dua orang dalam perusahaan, itu harus, dengan misi untuk menciptakan alat yang membantu dalam misi perang cyber dengan fokus pada otomatisasi. Ini hanya memiliki satu pelanggan, yang menuntut kerahasiaan: pemerintah AS.

Meskipun menerima sedikit pers, itu berhasil masuk ke New York Times akhir pekan lalu, tepat di akhir fitur pada bisnis spyware Israel yang terkepung NSO Group. Boldend dilaporkan telah mengembangkan kemampuan untuk meretas WhatsApp, meskipun ditutup dalam pembaruan keamanan pada Januari 2021, menurut presentasi yang dibuat untuk raksasa pertahanan Raytheon. Ini adalah pertama kalinya perangkat lunak “perang cyber” telah diberi paparan publik di luar kemitraan dengan Raytheon, yang diumumkan pada tahun 2020 ketika pasangan itu mengatakan mereka akan membangun “produk otomatis yang mempercepat pengembangan dan penyebaran alat cyber untuk operasi dan sistem yang penting bagi keamanan nasional.” Mereka juga mengumumkan bahwa mereka akan mengintegrasikan teknologi Boldend yang disebut Origen ke dalam pipa pengembangan teknologi Raytheon. Teknologi perangkat lunak sebagai layanan, yang tampaknya merupakan platform pengembangan yang berfokus pada keamanan dan dengan cepat memutar produk cyber.

Ada sesuatu yang lain yang menggelitik perhatian orang ketika datang ke Boldend. Dalam presentasi yang sama kepada Raytheon, sebuah slide mengklaim bahwa Boldend didukung oleh Founders Fund, kendaraan investasi Peter Thiel. Itu adalah fakta yang belum diungkapkan meskipun perusahaan sebelumnya mengumumkan investor lain. Dua sumber yang akrab dengan perusahaan mengkonfirmasi kepada Forbes Boldend memang didanai oleh perusahaan Thiel, dengan satu mengklaim perusahaan memasukkan lebih dari $ 10 juta yang disuntikkan pada tahun-tahun awal bisnis, meskipun mereka tidak dapat memberikan nomor tertentu. (Baik Founders Fund maupun Boldend belum membalas email yang meminta komentar.)

Ini mungkin tampak ironis: Thiel, salah satu pendukung keuangan Facebook yang paling terkenal, sekarang menjadi investor perusahaan yang telah mencoba meretas teknologi perusahaan milik Facebook. Bukan berarti Thiel takut berinvestasi di perusahaan yang berisiko melanggar aturan Facebook untuk membantu penegakan hukum: Founders Fund mendukung ClearView AI, sebuah perusahaan pengenalan wajah yang mengikis Facebook untuk mengisi basis data wajah besar yang nantinya dapat digunakan polisi dalam penyelidikan.

Mengangkangi cyber ofensif dan defensif

Dengan ekstensi, Thiel juga sekarang menjadi investor di perusahaan anti-ransomware, Halcyon, yang sepenuhnya dimiliki oleh Boldend, sumber yang dekat dengan perusahaan mengatakan. Memang, situs web Halcyon.ai mencantumkan Founders Fund sebagai pendukung, bersama investor Boldend lainnya Ron Gula.

Dalam mengangkangi dunia ofensif dan defensif, Boldend memposisikan dirinya sebagai salah satu dari segelintir bisnis “cyber spektrum penuh” yang berfokus pada melindungi dan menyerang klien pemerintah dan perusahaan. Beberapa startup di bidang niche ini telah muncul dalam beberapa tahun terakhir, mencari dukungan keuangan dari pemodal ventura. Ini termasuk QOMPLX, startup cybersecurity senilai $ 1,4 miliar dengan pendapatan $ 96 juta, dan Blackhorse Solutions, yang telah mengumpulkan $ 9 juta sebelum diakuisisi oleh Parsons Corp. seharga $ 200 juta pada musim panas 2021. Keduanya berkerumun di sabuk kontraktor pertahanan Virginia.

BlackHorse, yang memiliki lebih banyak kontrak pemerintah publik daripada Boldend atau QOMPLX, berjanji untuk menyatukan “operasi cyber, perang elektromagnetik dan informasi untuk pelanggan Departemen Pertahanan dan Komunitas Intelijen.” Sebelumnya disebut White Canvas Group, Forbes memperoleh kontrak bagi perusahaan untuk meneliti Web gelap untuk militer AS dan untuk melatih Komando Cyberspace Pasukan Korps Marinir Amerika Serikat tentang cara memanfaatkan intelijen open source di Web. Ini telah mencetak banyak kontrak multi-juta dolar selama setengah dekade terakhir dengan Pentagon, termasuk kesepakatan $ 90 juta untuk memberikan “solusi otomatisasi untuk mendukung Komando Cyber AS.”

Meskipun dua sumber dengan pengetahuan tentang perusahaan mengatakan itu tidak khas boldend untuk mengembangkan eksploitasi seperti yang terjadi untuk WhatsApp, dan bahwa yang dijelaskan oleh New York Times mungkin tidak pernah digunakan, jika ditugaskan untuk melakukannya lagi, startup bisa bersaing dengan bisnis ofensif-terfokus lainnya dalam mencoba untuk memecahkan keamanan aplikasi terenkripsi seperti WhatsApp untuk pelanggan. Sekarang dapat mengklasifikasikan dirinya sebagai saingan NSO Group Israel dan startup yang didukung Amerika seperti Paragon. Yang terakhir, seperti yang dilaporkan Forbes tahun lalu, difokuskan untuk mencoba masuk ke aplikasi perpesanan seperti Signal, WhatsApp dan Telegram. Ini telah menerima dukungan keuangan dari Battery Ventures yang berbasis di Boston untuk melakukan pekerjaan itu.

Boldend tetap menjadi perusahaan kecil, dengan hanya $ 13 juta yang dikumpulkan hingga saat ini dan valuasi $ 31 juta, menurut data Pitchbook. Tetapi sebagai salah satu investor perusahaan (yang meminta untuk tetap anonim karena mereka tidak berwenang untuk berbicara dalam catatan) mengatakan kepada Forbes, Halcyon memiliki potensi untuk menjadi jauh lebih menguntungkan, mengingat itu bisa menjual produk komersial ke ribuan perusahaan, bukan hanya segelintir badan intelijen Barat.

Seperti banyak karyawan baru Halcyon, banyak staf di Boldend berasal dari Cylance, sebuah perusahaan keamanan defensif yang mengklaim menggunakan kecerdasan buatan untuk mengamankan jaringan. Itu termasuk CEO dan pendiri Jon Miller. Cylance diakuisisi oleh BlackBerry pada tahun 2019.

Boldend tidak pengadilan publisitas dan situs web dua halaman mengungkapkan sedikit di luar: “Solusi kami memadukan komponen perang elektronik mutakhir dengan operasi cyber generasi berikutnya.” Halaman “produk” mengharuskan pengunjung untuk memiliki kata sandi.

Ketika Forbes menghubungi CEO Boldend Miller, ia menyerahkan Forbes ke tim PR-nya, menambahkan bahwa pekerjaan perusahaan hanya mendukung pemerintah AS membutuhkan kebijaksanaan. Tim PR belum menanggapi permintaan komentar pada saat publikasi.

Sumber: Forbes

Pengguna Android memperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus

February 2, 2022 by Eevee

Pengguna Android diperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus yang dapat membahayakan data ponsel.

Beberapa aplikasi berbeda dapat digunakan untuk mengambil pesan yang dihapus.

Tetapi WAMR tampaknya mengambil data yang dihapus dari WhatsApp, Facebook Messenger, dan platform lainnya. Karena enkripsi pada perangkat Android, WAMR tidak dapat mengakses pesan secara langsung.

Sebagai gantinya, aplikasi menggunakan riwayat pemberitahuan Anda untuk membaca pesan dan membuat cadangan pesan, menurut informasi dari Google App store.

Aplikasi WAMR akan mendeteksi pesan yang dihapus dan kemudian menampilkan pemberitahuan kepada Anda.

Media tambahan, termasuk gambar, video, gif animasi, audio, catatan suara, dokumen, stiker, juga dapat dipulihkan dari pesan.

Namun, aplikasi ini mencatat bahwa ini bukan cara resmi untuk memulihkan pesan yang dihapus, dan memperingatkan bahwa itu dapat menghadapi batasan berdasarkan aplikasi tempat data pesan berada, atau bahkan dari sistem operasi Android.

ketika anda menginstal aplikasi WAMR, beberapa izin harus diberikan agar dapat beroperasi di perangkat Android Anda. Izin ini dapat membahayakan data dari aplikasi lain di ponsel Anda.

Koran Keamanan Informasi melaporkan bahwa riwayat pencarian internet dan daftar kontak termasuk di antara data yang dapat diakses oleh aplikasi WAMR.

Outlet tersebut juga melaporkan bahwa terlepas dari potensi risiko keamanan, aplikasi WAMR telah diunduh lebih dari 10 juta kali.

Memilih untuk mengunduh aplikasi seperti WAMR yang dapat membahayakan data dan keamanan di ponsel Anda adalah risiko yang harus dipertimbangkan dengan cermat.

Sumber : NEW YORK POST

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

January 31, 2022 by Eevee

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

January 28, 2022 by Eevee

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Software / Application

Mengangkangi cyber ofensif dan defensif

Bagaimana malware bekerja

Aplikasi dan target

Cookies Settings