Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

by

(Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

Sumber: Ars Technica

Serangan Penyelundupan Permintaan HTTP Kelas Baru Dipamerkan di Black Hat USA

by

Berbicara di Black Hat USA kemarin (10 Agustus), James Kettle meluncurkan penelitian yang membuka batas baru dalam penyelundupan permintaan HTTP – serangan desinkronisasi yang didukung browser.

Pengarahan dan buku-putihnya, berjudul ‘Serangan Desinkronisasi Bertenaga Browser: Perbatasan Baru dalam Penyelundupan Permintaan HTTP’, didasarkan pada penelitian Kettle sebelumnya tentang serangan desinkronisasi.

Serangan desync tradisional meracuni koneksi antara server front-end dan back-end dan oleh karena itu tidak mungkin dilakukan di situs web yang tidak menggunakan arsitektur front-end/back-end.

Namun teknik baru ini menyebabkan desinkronisasi antara front-end dan browser, yang memungkinkan penyerang untuk “membuat eksploit dengan tingkat keparahan tinggi tanpa bergantung pada permintaan cacat yang tidak akan pernah dikirim oleh browser”, kata Kettle.

Ini dapat mengekspos berbagai situs web baru ke penyelundupan permintaan sisi server dan memungkinkan penyerang untuk melakukan variasi sisi klien dari serangan ini dengan mendorong browser korban untuk meracuni koneksinya sendiri ke server web yang rentan.

Kettle mendemonstrasikan bagaimana dia dapat mengubah browser web korban menjadi platform pengiriman desinkronisasi, menggeser batas penyelundupan permintaan dengan mengekspos situs web server tunggal dan jaringan internal.

Dia mampu menggabungkan permintaan lintas-domain dengan kelemahan server untuk meracuni kumpulan koneksi browser, menginstal backdoors, dan melepaskan worm desync – yang pada gilirannya membahayakan target termasuk Amazon, Apache, Akamai, Varnish, dan beberapa VPN web.

Sumber: PortSwigger

Peretas Menguras Uang Pernikahan Dari Akun Pasangan di Registri Zola

by

Peretas membobol akun beberapa pasangan menggunakan situs layanan pernikahan Zola dan menguras akun pendaftaran pernikahan mereka, kata para korban kepada Motherboard. Yang lain dikunci dari akun mereka menjelang pernikahan mereka.

“Mereka menagih ribuan dolar pada kartu kredit saya di luar batas maksimal dan berpotensi mencuri dana pernikahan jika ini tidak diselesaikan pada hari Rabu,” kata salah satu korban kepada Motherboard dalam obrolan online. “Saya merasa bahwa tidak peduli tentang masalah kata sandi, Zola harus bertanggung jawab dan tidak mengizinkan transaksi kartu kredit tanpa memerlukan konfirmasi kode keamanan.”

Korban mengatakan bahwa Zola akhirnya meneleponnya pada Senin pagi dan mengatakan kepadanya bahwa transaksi kartu kredit “semuanya akan dikembalikan.”

Korban lain, yang meminta untuk diidentifikasi hanya dengan nama depannya, Ali, mengatakan kepada Motherboard dalam obrolan online bahwa tunangannya Jackie mendapat peringatan penipuan dari banknya pada hari Sabtu yang memperingatkannya bahwa seseorang menggunakan kartu kreditnya untuk membeli barang di Zola.

“​​Kami memeriksa akun Zola kami dan melihat bahwa alamat email untuk akun tersebut telah diubah menjadi seseorang yang tidak kami kenal,” kata Ali. “Kemudian kami perhatikan bahwa semua dana pernikahan kami yang telah diberikan kepada kami sedang diproses untuk ditransfer ke rekening bank yang bukan milik kami.”

Tangkapan layar laporan bank yang ditunjukkan ke Motherboard oleh para korban menunjukkan serangkaian transaksi secara berurutan ke atau dari “Zola Registry.”

Perusahaan mengungkapkan peretasan di Twitter meminta maaf kepada “mereka yang mendeteksi aktivitas akun yang tidak teratur.”

Beberapa orang di Twitter mengatakan peretas dapat menggunakan kartu kredit mereka dan melakukan pembelian, yang mengakibatkan mereka kehilangan ribuan dolar.

Juru bicara Zola, Emily Forrest, mengatakan bahwa “transfer tunai diblokir. Semua dana tunai telah dikembalikan. Tindakan apa pun yang tidak dilakukan pasangan akan diperbaiki.”

Ashley Smith, korban lain, mengatakan kepada Motherboard bahwa dia dan tunangannya telah “$1000 dicuri dari dana tunai di Zola dan informasi kartu kredit kami dicuri dan digunakan untuk membeli $675 dalam bentuk kartu hadiah dari situs web Zola.”

“Selain itu, email dan kata sandi akun diubah jadi sekarang kami terkunci. Dukungan Zola ditutup sepanjang akhir pekan dan meskipun mereka seharusnya buka pukul 10 pagi hari ini adalah 11:34 dan saluran telepon masih ditutup, ”katanya dalam obrolan online.

“Kami memperhatikan bahwa semua dana pernikahan kami yang telah diberikan kepada kami sedang diproses untuk ditransfer ke rekening bank yang bukan milik kami.”

Dalam sebuah pernyataan yang dikirim melalui email ke Motherboard, perusahaan mengatakan bahwa peretas menggunakan teknik credential stuffing, di mana peretas mencoba membobol akun menggunakan kata sandi dan login yang telah terungkap dalam pelanggaran data lain dengan harapan target menggunakan kembali kata sandi tersebut.

“Peretas ini kemungkinan memperoleh akses ke kumpulan kredensial yang terbuka di situs pihak ketiga dan menggunakannya untuk mencoba masuk ke Zola dan mengambil tindakan buruk. Tim kami segera bertindak untuk memastikan bahwa semua pasangan dan tamu di Zola dilindungi. Karena sangat berhati-hati, tim Trust & Safety kami juga mengambil beberapa tindakan tambahan termasuk mengatur ulang semua kata sandi, ”kata juru bicara Zola Emily Forrest kepada Motherboard. “Kami memahami gangguan dan tekanan yang disebabkan oleh beberapa pasangan kami, tetapi kami dengan senang hati melaporkan bahwa semua upaya penipuan transfer dana tunai telah diblokir. Kartu kredit dan info bank tidak pernah terekspos dan terus dilindungi. Tidak ada pelanggaran infrastruktur yang diketahui. Layanan untuk aplikasi iOS dan Android telah dipulihkan. Tindakan yang tidak dilakukan oleh pengguna akun kami akan diperbaiki.”

Sumber: VICE

Berhati-hatilah dengan Stik USB ‘Microsoft Office’ yang Muncul di Email: Ini Penipuan

by

Jika Anda menerima produk Microsoft Office secara acak melalui pos, berhati-hatilah: Ini bisa jadi penipuan.

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna. (Sumber: Twitter)

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah. Tetapi jika Anda mencolokkan stik USB ke PC, itu tidak akan menginstal program Office. Sebaliknya, itu akan mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439. Konsultan keamanan siber Martin Pitman memulihkan stik USB dan kemasannya melalui ibunya, yang akhirnya meneleponnya ketika dia berada di rumah orang lain yang mencoba memasangnya.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Sumber: PCMag

Google memblokir serangan HTTPS DDoS terbesar ‘dilaporkan hingga saat ini’

by

Pelanggan Google Cloud Armor terkena serangan distributed denial-of-service (DDoS) melalui protokol HTTPS yang mencapai 46 juta permintaan per detik (RPS), menjadikannya yang terbesar yang pernah tercatat dari jenisnya.

Hanya dalam dua menit, serangan meningkat dari 100.000 RPS menjadi 46 juta RPS yang memecahkan rekor, hampir 80% lebih tinggi dari rekor sebelumnya, HTTPS DDoS sebesar 26 juta RPS yang dimitigasi Cloudflare pada bulan Juni.

Serangan dimulai pada pagi hari tanggal 1 Juni, pukul 09:45 Waktu Pasifik, dan menargetkan Penyeimbang Beban HTTP/S korban pada awalnya hanya dengan 10.000 RPS.

Dalam delapan menit, serangan meningkat menjadi 100.000 RPS dan Google Cloud Armor Protection dimulai dengan menghasilkan peringatan dan tanda tangan berdasarkan data tertentu yang diambil dari analisis lalu lintas.

Dua menit kemudian, serangan memuncak pada 46 juta permintaan per detik:

Serangan HTTPS DDoS memuncak pada 46 juta permintaan per detik
sumber: Google

Untuk melihat seberapa besar serangan itu pada puncaknya, Google mengatakan bahwa itu setara dengan mendapatkan semua permintaan harian ke Wikipedia hanya dalam 10 detik.

Untungnya, pelanggan telah menerapkan aturan yang direkomendasikan dari Cloud Armor yang memungkinkan operasi berjalan normal. Serangan itu berakhir 69 menit setelah dimulai.

Malware di balik serangan itu belum ditentukan tetapi distribusi geografis layanan yang digunakan menunjuk ke Mēris, botnet yang bertanggung jawab atas serangan DDoS yang mencapai puncaknya pada 17,2 juta RPS dan 21,8 juta RPS, keduanya memecahkan rekor pada masanya.

Mēris dikenal karena menggunakan proxy yang tidak aman untuk mengirimkan lalu lintas yang buruk, dalam upaya untuk menyembunyikan asal serangan.

Peneliti Google mengatakan bahwa lalu lintas serangan datang dari hanya 5.256 alamat IP yang tersebar di 132 negara dan permintaan terenkripsi leverage (HTTPS), menunjukkan bahwa perangkat yang mengirim permintaan memiliki sumber daya komputasi yang cukup kuat.

Karakteristik lain dari serangan ini adalah penggunaan node keluar Tor untuk mengirimkan lalu lintas. Meskipun hampir 22% atau 1.169 sumber menyalurkan permintaan melalui jaringan Tor, mereka hanya menyumbang 3% dari lalu lintas serangan.

Meskipun demikian, peneliti Google percaya bahwa node keluar Tor dapat digunakan untuk mengirimkan “sejumlah besar lalu lintas yang tidak diinginkan ke aplikasi dan layanan web.”

Mulai tahun lalu, era serangan DDoS volumetrik yang memecahkan rekor dimulai dengan beberapa botnet yang memanfaatkan sejumlah kecil perangkat kuat untuk mencapai berbagai target.

Pada September 2021, botnet Mēris menghantam raksasa internet Rusia Yandex dengan serangan yang mencapai 21,8 juta permintaan per detik. Sebelumnya, botnet yang sama mendorong 17,2 juta RPS terhadap pelanggan Cloudflare.

November lalu, platform perlindungan Azure DDoS Microsoft mengurangi serangan besar-besaran 3,47 terabit per detik dengan kecepatan paket 340 juta paket per detik (pps) untuk pelanggan di Asia.

Pelanggan Cloudflare lainnya terkena DDoS mencapai 26 juta RPS.

Sumber: Bleeping Computer

Video musik Janet Jackson menyatakan eksploitasi keamanan siber

by

Video musik untuk hit pop Janet Jackson tahun 1989, Rhythm Nation, telah diakui sebagai eksploitasi untuk kerentanan keamanan siber setelah Microsoft melaporkannya dapat merusak komputer laptop lama.

Kisah tersebut merinci bagaimana “produsen komputer besar menemukan bahwa memutar video musik untuk Rhythm Nation milik Janet Jackson akan merusak model laptop tertentu.”

Penyelidikan lebih lanjut mengungkapkan bahwa beberapa mesin pabrikan juga mogok. Terkadang memutar video di satu laptop akan membuat laptop lain di dekatnya mogok. Ini misterius karena lagunya sebenarnya tidak seburuk itu.

Investigasi mengungkapkan bahwa semua laptop yang mogok berbagi hard disk drive 5400 RPM yang sama.

Pabrikan yang menemukan masalah tampaknya menambahkan filter khusus di saluran audio untuk mendeteksi dan menghapus frekuensi yang mengganggu selama pemutaran audio.

Beberapa mesin modern memiliki hard disk drive, apalagi drive yang berputar dengan kecepatan sangat lambat 5400 putaran per menit. Juga, hampir tidak ada orang yang mendengarkan Janet Jackson lagi.

Register tetap melaporkan berita ini karena The Mitre Corporation telah melihat cocok untuk mendaftarkannya pada daftar Common Vulnerabilities and Exposures (CVEs) – daftar pasti kerentanan keamanan siber yang perlu kita semua waspadai.

Ini terdaftar sebagai CVE-2022-38392 dan telah diakui oleh vendor keamanan Tenable.

Meskipun bug tersebut tampak lucu, serangan saluran samping adalah ancaman nyata. Peneliti Israel Mordechai Guri telah menemukan cara untuk menyerang komputer termasuk dengan membuat memori memancarkan radiasi dalam pita yang sama yang digunakan oleh Wi-Fi dan mengkodekan informasi ke dalam emisi tersebut.

Oleh karena itu, pemilik laptop dengan hard disk lama, lambat, harus sangat berhati-hati jika mereka mendengar lagu Janet Jackson saat bekerja – itulah sebabnya kami tidak menyertakan Rhythm Nation dalam cerita ini.

Sumber: The Register

Scammers Mengirimkan Stick USB Microsoft Office Palsu Untuk Menipu Calon korban

by

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna.

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah.

Ketika USB tersebut disambungkan ke PC USB itu tidak menginstal program Office sebalikinya malah mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Bulan lalu, Robert Pooley, seorang direktur di perusahaan keamanan siber yang berbasis di Inggris Saepio, juga membunyikan (Buka di jendela baru) alarm tentang skema USB Microsoft Office palsu. “Cukup penipuan. Menunjukkan betapa pentingnya kesadaran dunia maya di tempat kerja dan di rumah,” tulisnya dalam sebuah posting di LinkedIn.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Microsoft mengatakan kepada Sky News bahwa perusahaan telah mengalami penipuan semacam ini sebelumnya, tetapi masih jarang. Selain itu, penipu biasanya hanya mengirimkan kunci produk palsu melalui surat, daripada seluruh paket dengan drive USB.

Sumber:

Aplikasi malware Android dengan 2 juta pemasangan ditemukan di Google Play

by

Kumpulan baru tiga puluh lima aplikasi malware Android yang menampilkan iklan yang tidak diinginkan ditemukan di Google Play Store, dengan aplikasi yang diinstal lebih dari 2 juta kali di perangkat seluler korban.

Aplikasi tersebut ditemukan oleh peneliti keamanan di Bitdefender, yang menggunakan metode analisis berbasis perilaku waktu nyata untuk menemukan aplikasi yang berpotensi berbahaya.

Aplikasi tersebut memikat pengguna untuk menginstalnya dengan berpura-pura menawarkan beberapa fungsi khusus tetapi mengubah nama dan ikon mereka segera setelah instalasi, membuatnya sulit untuk ditemukan dan dihapus.

Sejak saat itu, aplikasi jahat mulai menayangkan iklan yang mengganggu kepada pengguna dengan menyalahgunakan WebView, menghasilkan tayangan penipuan dan pendapatan iklan untuk operator mereka.

Aplikasi adware tersebut menerapkan beberapa metode untuk bersembunyi di Android dan bahkan menerima pembaruan selanjutnya untuk membuatnya lebih mudah disembunyikan di perangkat.

Setelah instalasi, aplikasi biasanya menganggap ikon roda gigi dan mengganti namanya sendiri sebagai ‘Pengaturan’, untuk menghindari deteksi dan penghapusan.

Jika pengguna mengklik ikon, aplikasi meluncurkan aplikasi malware dengan ukuran 0 untuk disembunyikan dari pandangan. Malware kemudian meluncurkan menu Pengaturan yang sah untuk mengelabui pengguna agar berpikir bahwa mereka meluncurkan aplikasi yang benar.

Fungsi untuk meluncurkan Pengaturan sistem (Bitdefender)

Aplikasi berbahaya juga menampilkan kebingungan kode yang berat dan enkripsi untuk menggagalkan upaya rekayasa balik, menyembunyikan muatan Java utama di dalam dua file DEX terenkripsi.

Metode lain untuk menyembunyikan aplikasi dari pengguna adalah dengan mengecualikan diri mereka dari daftar ‘Aplikasi terbaru’, jadi meskipun mereka berjalan di latar belakang, mengekspos proses aktif tidak akan mengungkapkannya.

Aplikasi populer yang menayangkan iklan
35 aplikasi Android berbahaya memiliki jumlah unduhan mulai dari 10.000 hingga 100.000, dengan total lebih dari dua juta unduhan.

Yang paling populer, masing-masing memiliki 100k unduhan, adalah sebagai berikut:

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)

    • Selengkapnya

Dari yang di atas, ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’, dan ‘GPS Location Finder’ masih tersedia di Play Store saat menulis artikel ini.

Adware masih tersedia di Play Store

Aplikasi lainnya yang terdaftar tersedia di beberapa toko aplikasi pihak ketiga seperti APKSOS, APKAIO, APKCombo, APKPure, dan APKsfull, tetapi jumlah unduhan yang disajikan berasal dari waktu mereka di Play Store.

Jika Anda telah menginstal salah satu aplikasi ini, Anda harus segera mencari dan menghapusnya dari perangkat Anda.

Karena aplikasi menyamar sebagai Pengaturan, menjalankan alat AV seluler untuk mencari dan menghapusnya mungkin berguna dalam kasus ini.

Sumber: Bleeping Computer