Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Trojan

Trojan

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

by

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Izin diminta saat instalasi (Cleafy)

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Peretas Cina menargetkan skrip kiddies dengan trojan pencuri info

by

Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.

Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.

Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.

Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.

Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.

Alat GUI Bomber SMS (Titik Periksa)

Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’

Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.

Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.

Rantai infeksi lengkap (Check Point)

Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.

Cuplikan kode AES yang aneh
(Titik Cek)

Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.

Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.

Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.

Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.

Sumber: Bleeping Computer

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

by

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Deteksi trojan seluler meningkat saat tingkat distribusi malware menurun

by

Laporan triwulanan Kaspersky tentang distribusi malware seluler mencatat tren penurunan yang dimulai pada akhir tahun 2020. Terlepas dari penurunan volume malware secara keseluruhan, perusahaan keamanan melaporkan lonjakan distribusi trojan, termasuk trojan generik, trojan perbankan, dan spyware.

Perkembangan yang mengkhawatirkan ini menggarisbawahi peningkatan fokus pada operasi yang lebih canggih dan merusak yang secara bertahap menggantikan adware dan “alat risiko” dengan hasil rendah.

Adware dan “alat risiko” tetap menjadi yang paling umum dalam hal volume distribusi, dengan yang terakhir menyumbang hampir setengah dari semua upaya infeksi malware seluler yang terdeteksi oleh Kaspersky pada Q1 2022.

Jenis malware yang didistribusikan pada kuartal terakhir (Kaspersky)

Deteksi trojan mobile banking telah meningkat sekitar 40% dibandingkan dengan kuartal sebelumnya, dan jumlahnya dua kali lipat dibandingkan dengan data Q1 2021.

Jenis malware ini biasanya melapisi layar login di atas aplikasi perbankan atau manajemen cryptocurrency yang sah untuk mencuri kredensial akun orang.

Trojan perbankan menjadi lebih luas dan murah tersedia di forum peretasan dan saluran Telegram, sehingga adopsi mereka oleh penjahat cyber berketerampilan rendah meningkat.

Menurut Kaspersky, keluarga baru yang mendorong angka distribusi ke atas pada kuartal ini adalah yang mereka lacak sebagai “Trojan-Banker.AndroidOS.Bray”, yang menyumbang 81% dari semua deteksi trojan seluler pada kuartal pertama tahun ini.

Kaspersky telah memperhatikan beberapa tren menarik di awal tahun ini, yang paling menonjol adalah peningkatan aplikasi penipuan yang didorong melalui saluran toko aplikasi resmi seperti Google Play Store.

Pada kuartal pertama tahun 2022, scammers mengeksploitasi invasi Rusia ke Ukraina untuk menawarkan aplikasi manfaat publik palsu yang menjanjikan bantuan keuangan sebagai tanggapan terhadap sanksi dan pembatasan transaksi. Namun, aplikasi ini hanya mencuri uang pengguna dengan mengarahkan mereka ke situs web eksternal yang berbahaya.

Aplikasi penipuan terlihat di Play Store pada bulan-bulan sebelumnya (Kaspersky)

Ancaman lain yang disorot adalah aplikasi pinjaman bayaran agresif yang menargetkan sebagian besar pengguna di India, Brasil, dan Meksiko.

Kaspersky mengklasifikasikan ini sebagai “RiskTool.AndroidOS.SpyLoan”, dan mengatakan aplikasi ini meminta akses ke daftar kontak pengguna, SMS, dan foto selama instalasi. Jika pembayaran terlambat, informasi ini digunakan untuk pemerasan.

Aplikasi pinjaman bayaran dilaporkan terlibat dalam pemerasan (Kaspersky)

Dalam beberapa kasus, telah dilaporkan bahwa agen penagih utang yang bekerja untuk platform ini memanggil orang-orang dari daftar kontak pengguna untuk mengekspos mereka dan meningkatkan tekanan untuk membayar utang.

Dalam kasus lain, bahkan lebih ekstrim, pengguna aplikasi ini terkunci dari ponsel mereka jika mereka melewatkan pembayaran, menggemakan ancaman ransomware.

Perkembangan dan kondisi yang memicu tren yang berlangsung pada kuartal terakhir tetap tidak berubah, sehingga distribusi trojan diperkirakan akan terus menggantikan ancaman yang ditandai sebagai adware dan riskware.

Sumber:

Serangan Trojan Linux “XorDdos” Melonjak, Menargetkan Cloud & IoT

by

Penggunaan kejahatan dunia maya dari Trojan Linux yang dikenal sebagai XorDdos sedang meningkat, menurut sebuah laporan baru, yang menemukan peningkatan 254% dalam aktivitas jahat terhadap titik akhir Linux menggunakan malware selama enam bulan terakhir.

Ini pertama kali ditemukan pada tahun 2014, dan Tim Riset Pertahanan Microsoft 365 menjelaskan dalam posting blog baru-baru ini bahwa Trojan XorDdos menargetkan titik akhir cloud Linux dan Internet of Things (IoT), dan menyebarkan botnet untuk melakukan penolakan layanan terdistribusi (DDoS). ) serangan.

“Dengan mengkompromikan IoT dan perangkat lain yang terhubung ke internet, XorDdos mengumpulkan botnet yang dapat digunakan untuk melakukan serangan DDoS,” tulis tim tersebut dalam menggambarkan munculnya Trojan XorDdos.

“Serangan DDoS itu sendiri bisa sangat bermasalah karena berbagai alasan, tetapi serangan semacam itu juga dapat digunakan sebagai perlindungan untuk menyembunyikan aktivitas jahat lebih lanjut, seperti menyebarkan malware dan menyusup ke sistem target.”

Dark Reading

Malware Android ERMAC 2.0 baru mencuri akun, dompet dari 467 aplikasi

by

Trojan perbankan Android ERMAC telah merilis versi 2.0, meningkatkan jumlah aplikasi yang ditargetkan dari 378 menjadi 467, mencakup lebih banyak aplikasi untuk mencuri kredensial akun dan dompet kripto.

Tujuan dari trojan adalah untuk mengirim kredensial login yang dicuri ke pelaku ancaman, yang kemudian menggunakannya untuk mengendalikan akun perbankan dan cryptocurrency orang lain dan melakukan penipuan keuangan atau bentuk lain.

ERMAC saat ini dijual kepada anggota situs darknet dengan tarif berlangganan $5.000 per bulan, yaitu $2k di atas label harga versi pertama, yang mencerminkan peningkatan fitur dan popularitasnya.

ERMAC dijual di forum peretas (ESET)

Kampanye malware pertama yang menggunakan malware ERMAC 2.0 baru adalah aplikasi Bolt Food palsu yang menargetkan pasar Polandia.

Menurut peneliti ESET, para pelaku ancaman mendistribusikan aplikasi Android melalui situs web “bolt-food[.]site”, meniru layanan pengiriman makanan Eropa yang sah. Situs palsu ini masih aktif pada saat penulisan ini.

Situs hosting malware (ESET)

Pengguna kemungkinan berakhir di situs palsu melalui email phishing, posting media sosial berbahaya, smishing, malvertising, dll. Jika mereka mengunduh aplikasi, mereka akan mendapatkan permintaan izin yang menuntut kontrol penuh atas perangkat mereka.

Izin diminta saat instalasi
(ESET)

Pemberian akses ke Layanan Aksesibilitas diperlukan untuk melayani overlay aplikasi, menipu korban untuk memasukkan kredensial mereka pada formulir yang terlihat sah tetapi hanya tiruan dari antarmuka aplikasi yang sebenarnya.

Cyble telah mengambil sampel malware untuk analisis teknis yang lebih dalam dan mengonfirmasi bahwa ia memberikan dirinya sendiri 43 izin saat penginstalan (melalui Aksesibilitas), termasuk akses SMS, akses kontak, pembuatan jendela peringatan sistem, perekaman audio, dan akses baca dan tulis penyimpanan penuh.

ERMAC pertama-tama menentukan aplikasi apa yang diinstal pada perangkat host dan kemudian mengirimkan informasi ke server C2.

Respons berisi modul injeksi yang cocok dengan daftar aplikasi dalam bentuk HTML terenkripsi, yang didekripsi oleh malware dan disimpan ke dalam file Preferensi Bersama sebagai “setting.xml.”

Tanggapan dari C2 yang berisi suntikan (Cyble)

Ketika korban mencoba untuk meluncurkan aplikasi yang sebenarnya, tindakan injeksi terjadi, dan halaman phishing dimuat di atas GUI yang sebenarnya. Kredensial yang dipanen dikirim ke C2 yang sama yang memberikan suntikan.

Injeksi yang terjadi pada perangkat (Cyble)

Analis Cyble telah menemukan banyak kesamaan dengan malware “Cerberus”, sehingga tampaknya versi kedua dari trojan kuat didasarkan pada malware tersebut.

Daftar ekstensif aplikasi yang didukung menjadikannya malware yang kuat, tetapi perlu dicatat bahwa itu akan tersandung pada masalah di Android versi 11 dan 12, berkat batasan tambahan yang ditambahkan Google untuk mencegah penyalahgunaan Layanan Aksesibilitas.

Untuk mencegah infeksi dari trojan Android, hindari mengunduh APK dari luar Play Store, terutama dari situs web yang belum Anda konfirmasikan sebagai sah.

Sumber: Bleeping Computer

Tool Windows 11 Untuk Menambahkan Google Play Store Ternyata Menginstal Malware Secara Diam-Diam

by

Skrip ToolBox Windows 11 populer yang digunakan untuk menambahkan Google Play Store ke Subsistem Android telah secara diam-diam menginfeksi pengguna dengan skrip berbahaya, ekstensi Chrome, dan kemungkinan malware lainnya.

Ketika Windows 11 dirilis pada bulan Oktober, Microsoft mengumumkan bahwa itu akan memungkinkan pengguna untuk menjalankan aplikasi Android asli langsung dari dalam Windows.

Fitur ini menarik bagi banyak pengguna, tetapi ketika pratinjau Android untuk Windows 11 dirilis pada bulan Februari, banyak yang kecewa karena mereka tidak dapat menggunakannya dengan Google Play dan terjebak dengan aplikasi dari Amazon App Store.

Meskipun ada cara untuk menggunakan ADB untuk melakukan sideload aplikasi Android, pengguna mulai mencari metode yang memungkinkan mereka menambahkan Google Play Store ke Windows 11.

Sekitar waktu itu, seseorang merilis alat baru bernama Windows Toolbox di GitHub dengan sejumlah fitur, termasuk kemampuan untuk mendebloat Windows 11, mengaktifkan Microsoft Office dan Windows, dan menginstal Google Play Store untuk subsistem Android.

Namun, tanpa sepengetahuan semua orang hingga minggu ini, Windows Toolbox sebenarnya adalah Trojan yang mengeksekusi serangkaian skrip PowerShell berbahaya yang dikaburkan untuk menginstal trojan clicker dan kemungkinan malware lain di perangkat.

Untuk menjalankan Windows Toolbox, pengembang memberi tahu pengguna untuk menjalankan perintah berikut, yang memuat skrip PowerShell dari Cloudflare worker yang dihosting di http://ps.microsoft-toolbox.workers.dev/.

Yang kami ketahui adalah bahwa skrip berbahaya hanya menargetkan pengguna di AS dan membuat banyak Tugas Terjadwal dengan nama berikut:
Microsoft\Windows\AppID\VerifiedCert
Microsoft\Windows\Application Experience\Maintenance
Microsoft\Windows\Services\CertPathCheck
Microsoft\Windows\Services\CertPathw
Microsoft\Windows\Servicing\ComponentCleanup
Microsoft\Windows\Servicing\ServiceCleanup
Microsoft\Windows\Shell\ObjectTask
Microsoft\Windows\Clip\ServiceCleanup

Trojan juga membuat folder c:\systemfile tersembunyi dan menyalin profil default untuk Chrome, Edge, dan Brave ke dalam folder.

Selengkapnya: Bleeping Computer