Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Peneliti memperingatkan risiko parah dari serangan printer ‘Printjack’

by

Sebuah tim peneliti Italia telah menyusun serangkaian tiga serangan yang disebut ‘Printjack’, memperingatkan pengguna tentang konsekuensi signifikan dari terlalu mempercayai printer mereka.

Serangan tersebut termasuk merekrut printer di kawanan DDoS, memaksakan status DoS kertas, dan melakukan pelanggaran privasi.

Seperti yang ditunjukkan oleh para peneliti, printer modern masih rentan terhadap kelemahan dasar dan tertinggal dari IoT dan perangkat elektronik lainnya yang mulai sesuai dengan keamanan siber dan persyaratan privasi data.

Dengan mengevaluasi potensi serangan dan tingkat risiko, para peneliti menemukan ketidakpatuhan terhadap persyaratan GDPR dan ISO/IEC 27005:2018 (kerangka kerja untuk mengelola risiko siber).

Kurangnya keamanan built-in ini sangat bermasalah ketika mempertimbangkan bagaimana printer di mana-mana, digunakan di lingkungan kritis, perusahaan, dan organisasi dari semua ukuran.

Sebuah makalah berjudul ‘You Overtrust Your Printer’ oleh Giampaolo Bella dan Pietro Biondi menjelaskan bagaimana Shodan digunakan untuk memindai negara-negara Eropa untuk perangkat dengan port TCP 9100 yang dapat diakses publik, biasanya digunakan untuk pekerjaan printing TCP/IP raw.

Pencarian ini menghasilkan puluhan ribu IP yang menanggapi permintaan port, dengan Jerman, Rusia, Prancis, Belanda, dan Inggris memiliki perangkat yang paling terbuka.

Jenis serangan Printjack pertama adalah merekrut printer dalam gerombolan DDoS, dan pelaku ancaman dapat melakukannya dengan memanfaatkan kerentanan RCE yang diketahui dengan PoC yang tersedia untuk umum.

Para peneliti menggunakan CVE-2014-3741 sebagai contoh tetapi menggarisbawahi bahwa setidaknya beberapa lusin kerentanan lain tersedia di database MITRE.

Printer yang menjadi korban serangan ini cenderung tidak responsif, mengkonsumsi lebih banyak daya, dan lebih cepat panas, sementara elektronik mereka akan mengalami kerusakan yang lebih cepat.

Serangan kedua adalah ‘serangan DoS kertas’ yang dilakukan dengan mengirimkan tugas cetak berulang-ulang hingga korban kehabisan kertas dari semua baki.

Situasi ini tidak terdengar seperti malapetaka, tetapi masih dapat menyebabkan gangguan bisnis, jadi ini bukan tentang biaya tinta dan kertas tetapi waktu henti layanan dan respons insiden.

Para peneliti menjelaskan bahwa serangan ini mudah dilakukan dengan menulis skrip Python sederhana yang dieksekusi di dalam jaringan target, menciptakan loop pekerjaan pencetakan yang berulang ribuan kali.

Dalam jenis serangan Printjack yang paling parah, ada potensi untuk melakukan serangan “man in the middle” dan menguping konten yang dicetak.

Karena tidak ada data pencetakan yang dikirim dalam bentuk terenkripsi, jika penyerang mengeksploitasi kerentanan pada jaringan printer, mereka secara teoritis dapat mengambil data dalam bentuk teks biasa.

Selengkapnya: Bleeping Computer

Peretas menargetkan biomanufaktur dengan malware Tardigrade yang tersembunyi

by

​Sebuah grup peretas tingkat lanjut secara aktif menargetkan fasilitas biomanufaktur dengan malware kustom baru yang disebut ‘Tardigrade.’

Pelaku menggunakan malware khusus untuk menyebar di jaringan yang disusupi dan mengekstrak data untuk waktu yang lama tanpa diketahui.

Menurut penasehat yang diterbitkan oleh PBioeconomy Information Sharing and Analysis Center (BIO-ISAC) hari ini, aktor tersebut telah secara aktif menargetkan entitas di lapangan setidaknya sejak Januari 2020.

Anggota BIO-ISAC BioBright mengatakan kepada Wired bahwa tanda-tanda pertama yang terlihat dari serangan ini datang dalam bentuk infeksi ransomware aneh pada musim semi tahun 2020, di mana para pelaku meninggalkan catatan tebusan yang tidak menunjukkan minat yang tulus untuk menerima pembayaran apa pun.

Tujuan dari penyebaran ransomware ini kemungkinan besar untuk menyembunyikan penurunan muatan yang sebenarnya, sebuah malware metamorf yang akan bersarang di sistem yang disusupi, menyebar seperti worm, dan mengekstrak file.

BIO-ISAC menjelaskan bahwa pelaku ancaman menggunakan versi metamorfik khusus ‘SmokeLoader’ bernama ‘Tartigrade,’ yang dikirimkan melalui phishing atau USB stick yang entah bagaimana menemukan jalan mereka di lokasi organisasi target.

SmokeLoader bertindak sebagai pintu masuk tersembunyi bagi para aktor, mengunduh lebih banyak muatan, memanipulasi file, dan menyebarkan modul tambahan.

Versi SmokeLoader sebelumnya sangat bergantung pada arah eksternal, tetapi varian ini dapat beroperasi secara mandiri dan bahkan tanpa koneksi C2.

Sasaran dari pelaku ancaman adalah spionase dunia maya dan mungkin juga gangguan operasional, tetapi malware mereka dapat menjadi masalah yang terus-menerus bagi sistem yang terinfeksi meskipun tidak dapat lagi berkomunikasi dengan server perintah dan kontrol.

Setelah menerbitkan artikel ini, BleepingComputer dihubungi oleh peneliti keamanan yang prihatin dengan kebenaran laporan BIO-ISAC dan data teknis yang disajikan di dalamnya.

Intel Advanced Vitali Kremez dan peneliti lain yang telah berbicara dengan BleepingComputer menyatakan bahwa DLL ini sebenarnya adalah Cobalt Strike HTTP beacon yang dikemas menggunakan crypter Conti, dan tidak ada hubungannya dengan SmokeLoader.

Selengkapnya: Bleeping Computer

Eksploitasi dirilis untuk bug Microsoft Exchange RCE

by

Kode eksploitasi telah dirilis secara online selama akhir pekan untuk kerentanan tingkat tinggi yang dieksploitasi secara aktif yang berdampak pada server Microsoft Exchange.

Bug keamanan yang dilacak sebagai CVE-2021-42321 berdampak pada Exchange Server 2016 dan Exchange Server 2019 lokal (termasuk yang digunakan oleh pelanggan dalam mode Exchange Hybrid) dan ditambal oleh Microsoft selama Patch Tuesday bulan ini.

Pada hari Minggu, hampir dua minggu setelah patch CVE-2021-42321 diterbitkan, peneliti Janggggg menerbitkan eksploitasi proof-of-concept untuk bug RCE pasca-auth Exchange.

Jika Anda belum menambal kerentanan keamanan ini di server lokal, Anda dapat membuat inventaris cepat dari semua server Exchange di lingkungan Anda yang perlu diperbarui menggunakan versi terbaru skrip Pemeriksa Kesehatan Server Exchange.

Untuk memeriksa apakah salah satu server Exchange Anda yang rentan telah terkena upaya eksploitasi CVE-2021-42321, Anda harus menjalankan kueri PowerShell ini di setiap server Exchange untuk memeriksa peristiwa tertentu di Log Peristiwa:

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

Jalur pembaruan Exchange Server CVE-2021-42321 (Microsoft)

Admin Exchange telah menangani dua gelombang serangan besar-besaran sejak awal tahun 2021, yang menargetkan kerentanan keamanan ProxyLogon dan ProxyShell.

Pelaku ancaman yang didukung negara dan bermotivasi finansial menggunakan eksploitasi ProxyLogon untuk menyebarkan shell web, cryptominers, ransomware, dan malware lainnya mulai awal Maret.

Dalam serangan ini, mereka menargetkan lebih dari seperempat juta server Microsoft Exchange, milik puluhan ribu organisasi di seluruh dunia.

Empat bulan kemudian, AS dan sekutunya, termasuk UE, Inggris, dan NATO, secara resmi menyalahkan China atas serangan peretasan Microsoft Exchange yang meluas ini.

Pada bulan Agustus, pelaku ancaman juga mulai memindai dan melanggar server Exchange dengan mengeksploitasi kerentanan ProxyShell setelah peneliti keamanan mereproduksi eksploitasi yang berfungsi.

Meskipun muatan yang dijatuhkan menggunakan eksploitasi ProxyShell pada awalnya tidak berbahaya, penyerang kemudian beralih untuk menyebarkan muatan ransomware LockFile di seluruh domain Windows yang diretas menggunakan eksploitasi Windows PetitPotam.

Dengan kerentanan terbaru ini (CVE-2021-42321), para peneliti telah melihat penyerang memindai dan mencoba untuk mengkompromikan sistem yang rentan.

Selengkapnya : Bleeping Computer

Windows zero-day baru dengan eksploitasi publik memungkinkan Anda menjadi admin

by

Seorang peneliti keamanan telah secara terbuka mengungkapkan eksploitasi untuk kerentanan zero-day elevasi hak istimewa lokal Windows baru yang memberikan hak istimewa admin di Windows 10, Windows 11, dan Windows Server.

BleepingComputer telah menguji eksploit dan menggunakannya untuk membuka ke command prompt dengan hak istimewa SISTEM dari akun yang hanya memiliki hak ‘Standar’ tingkat rendah.

Dengan menggunakan kerentanan ini, pelaku ancaman dengan akses terbatas ke perangkat yang disusupi dapat dengan mudah meningkatkan hak istimewa mereka untuk membantu menyebar secara lateral di dalam jaringan.

Kerentanan memengaruhi semua versi Windows yang didukung, termasuk Windows 10, Windows 11, dan Windows Server 2022.

Sebagai bagian dari Patch Selasa November 2021, Microsoft memperbaiki kerentanan ‘Windows Installer Elevation of Privilege Vulnerability’ yang dilacak sebagai CVE-2021-41379.

Kerentanan ini ditemukan oleh peneliti keamanan Abdelhamid Naceri, yang menemukan bypass ke patch dan kerentanan elevasi hak istimewa zero-day baru yang lebih kuat setelah memeriksa perbaikan dari Microsoft.

Kemarin, Naceri menerbitkan exploit proof-of-concept yang berfungsi untuk zero-day baru di GitHub, menjelaskan bahwa itu berfungsi pada semua versi Windows yang didukung.

Naceri juga menjelaskan bahwa meskipun user dapat mengonfigurasi kebijakan grup untuk mencegah pengguna ‘Standar’ melakukan operasi MSI installer, zero-day-nya melewati kebijakan ini dan akan tetap berfungsi.

Selengkapnya: Bleeping Computer

Otentikasi biometrik dapat dilewati menggunakan foto sidik jari, printer, dan lem

by

Para peneliti menunjukkan bahwa sidik jari dapat dikloning untuk otentikasi biometrik hanya dengan $5 tanpa menggunakan alat canggih.

Meskipun otentikasi biometrik berbasis sidik jari umumnya dianggap lebih unggul daripada PIN dan kata sandi dalam hal keamanan, fakta bahwa jejak dapat ditinggalkan di banyak tempat umum membuatnya siap untuk disalahgunakan.

Telah terbukti sebelumnya bahwa ada cara untuk mengumpulkan dan menggunakan sidik jari orang untuk mengelabui sensor yang paling canggih sekalipun. Namun, ini biasanya melibatkan penggunaan alat khusus seperti kamera DSLR dan printer 3D dengan ketelitian tinggi.

Menurut tim Kraken Security Labs, ada cara untuk mengkloning sidik jari menggunakan bahan murah, tanpa alat canggih yang terlibat dalam setiap langkah proses, yaitu menggunakan sebuah printer dan beberapa lem.

Caranya adalah memotret sidik jari tersebut menggunakan smartphone modern kemudian melakukan pengeditan dasar, ini cukup untuk menyesuaikan garis luar sidik jari yang dicuri dan mempersiapkannya untuk langkah pencetakan, jadi tidak diperlukan gambar DSLR beresolusi tinggi.

Untuk langkah pencetakan, setiap printer laser yang menerima lembaran asetat akan cocok untuk serangan itu. Asetat biasanya digunakan untuk kartu, stensil, dan overlay, tetapi sangat ideal dalam kasus ini karena printer laser dapat mengetsanya.

Setelah pencetakan selesai, sidik jari sintetis dapat disatukan dengan mengoleskan lem kayu di atas cetakan dan membiarkannya kering.

Membuka kunci MacBook Pro dengan sidik jari yang dikloning
Sumber: Kraken

Melalui pengujian, tim Kraken menemukan bahwa sidik jari yang dihasilkan dapat mengelabui sensor sidik jari tercanggih seperti yang digunakan pada MacBook Pro terbaru.

Temuan Kraken tidak berarti bahwa akhir dari sidik jari sudah dekat, tetapi ini adalah pengingat yang baik tentang mengapa orang tidak boleh memperlakukan mereka sebagai satu lapisan perlindungan untuk akun mereka.

Sidik jari adalah metode autentikasi biometrik yang nyaman, tetapi jika menyangkut aplikasi penting, sidik jari hanya boleh digunakan sebagai 2FA bersama dengan kata sandi yang kuat.

“Sidik jari tidak boleh dianggap sebagai alternatif yang aman untuk kata sandi yang kuat. Melakukan hal itu membuat informasi Anda – dan, berpotensi, aset kripto Anda – rentan bahkan terhadap penyerang yang paling tidak canggih sekalipun,” jelas para peneliti Kraken.

Seiring kemajuan teknologi dan elektronik konsumen berbiaya rendah menjadi lebih mampu menghasilkan hasil fidelitas tinggi, sidik jari akan lebih mudah untuk dikloning.

Sumber : Bleeping Computer

Peretasan GoDaddy menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan

by

GoDaddy mengatakan bahwa data 1,2 juta pelanggannya terungkap setelah peretas memperoleh akses ke lingkungan hosting WordPress Terkelola perusahaan.

Insiden itu ditemukan oleh GoDaddy Rabu lalu, pada 17 November, namun penyerang memiliki akses ke jaringannya dan data yang terdapat pada sistem yang dilanggar setidaknya sejak 6 September 2021.

    Penyerang dapat mengakses informasi pelanggan GoDaddy berikut menggunakan kata sandi yang disusupi:

  • Hingga 1,2 juta pelanggan WordPress Terkelola aktif dan tidak aktif memiliki alamat email dan nomor pelanggan mereka. Pemaparan alamat email menghadirkan risiko serangan phishing.
  • Kata sandi Admin WordPress asli yang ditetapkan pada saat penyediaan terungkap. Jika kredensial tersebut masih digunakan, kami menyetel ulang kata sandi tersebut.
  • Untuk pelanggan aktif, nama pengguna dan kata sandi sFTP dan database diekspos. Kami mengatur ulang kedua kata sandi.
  • Untuk subset pelanggan aktif, kunci pribadi SSL diekspos. Kami sedang dalam proses menerbitkan dan memasang sertifikat baru untuk pelanggan tersebut.

Perusahaan juga mengungkapkan pelanggaran tahun lalu, pada bulan Mei, ketika memperingatkan beberapa pelanggannya bahwa pihak yang tidak berwenang menggunakan kredensial akun hosting web mereka pada bulan Oktober untuk terhubung ke akun hosting mereka melalui SSH.

Tim keamanan GoDaddy menemukan insiden itu setelah melihat file SSH yang diubah di lingkungan hosting GoDaddy dan aktivitas mencurigakan di subset server GoDaddy.

Pada tahun 2019, scammers juga menggunakan ratusan akun GoDaddy yang disusupi untuk membuat 15.000 subdomain, mencoba meniru situs web populer dan mengarahkan calon korban ke halaman spam yang mendorong produk minyak ular.

Sebelumnya pada tahun 2019, GoDaddy diketahui menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, sehingga berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja mereka secara keseluruhan.

Sumber : Bleeping Computer

Ransomware Baru Memento Beralih ke WinRar Setelah Gagal Dalam Enkripsi

by Leave a Comment

Sebuah kelompok ransomware baru bernama Memento mengambil pendekatan yang tidak biasa untuk mengunci file di dalam arsip yang dilindungi kata sandi setelah metode enkripsi mereka terus terdeteksi oleh perangkat lunak keamanan.

Bulan lalu, kelompok ini menjadi aktif ketika mereka mulai mengeksploitasi cacat klien web VMware vCenter Server untuk akses awal ke jaringan korban.

Kerentanan vCenter dilacak sebagai ‘CVE-2021-21972’ dan merupakan bug eksekusi kode jarak jauh yang tidak diautistik dengan peringkat keparahan 9,8 (kritis).

Cacat ini memungkinkan siapa pun dengan akses jarak jauh ke port TCP / IP 443 pada server vCenter yang terbuka untuk menjalankan perintah pada OS yang mendasarinya dengan hak istimewa admin.

Sebuah patch untuk cacat ini keluar pada bulan Februari, tetapi seperti yang ditunjukkan oleh operasi Memento, banyak organisasi belum menambal instalasi mereka.

Kerentanan ini telah dieksploitasi oleh Memento sejak April, sementara pada bulan Mei, aktor yang berbeda terlihat mengeksploitasinya untuk menginstal penambang XMR melalui perintah PowerShell.
Memanfaatkan vCenter untuk menyebarkan ransomware

Memento meluncurkan operasi ransomware mereka bulan lalu ketika mereka memulai vCenter untuk mengekstrak kredensial administratif dari server target, membangun ketekunan melalui tugas yang dijadwalkan, dan kemudian menggunakan RDP melalui SSH untuk menyebar secara lateral di dalam jaringan.

Setelah tahap pengintaian, para aktor menggunakan WinRAR untuk membuat arsip file yang dicuri dan mengekratekannya.

Sumber: Sophos

Akhirnya, mereka menggunakan utilitas wiping data BCWipe Jetico untuk menghapus jejak yang tertinggal dan kemudian menggunakan strain ransomware berbasis Python untuk enkripsi AES.

Namun, upaya asli Memento pada file terenkripsi karena sistem memiliki perlindungan anti-ransomware, menyebabkan langkah enkripsi terdeteksi dan dihentikan sebelum kerusakan dilakukan.
Solusi

Untuk mengatasi deteksi ransomware komoditas oleh perangkat lunak keamanan, Memento datang dengan taktik yang menarik – lewati enkripsi sama sekali dan pindahkan file ke arsip yang dilindungi kata sandi.

Untuk melakukan ini, grup sekarang memindahkan file ke arsip WinRAR, menetapkan kata sandi srong untuk perlindungan akses, mengenkripsi kunci itu, dan akhirnya menghapus file asli.

“Alih-alih mengenkripsi file, kode “crypt” sekarang menempatkan file dalam bentuk yang tidak terenkripsi ke dalam file arsip, menggunakan salinan WinRAR, menyimpan setiap file dalam arsipnya sendiri dengan ekstensi file .vaultz,” jelas analis Sophos Sean Gallagher.

“Kata sandi dihasilkan untuk setiap file seperti yang diarsipkan. Kemudian kata sandi itu sendiri dienkripsi.”

Catatan tebusan yang dijatuhkan menuntut korban membayar 15,95 BTC ($ 940.000) untuk pemulihan lengkap atau 0,099 BTC ($ 5.850) per file.

Sumber: Sophos

Dalam kasus yang diselidiki Sophos, upaya pemerasan ini belum menyebabkan pembayaran tebusan, karena korban menggunakan cadangan mereka untuk memulihkan file.

Namun, Memento adalah kelompok baru yang baru saja menemukan pendekatan atipikal yang berhasil, jadi mereka mungkin akan mencobanya melawan organisasi lain.

Dengan demikian, jika Anda menggunakan VMware vCenter Server dan/ atau Cloud Foundation, pastikan untuk memperbarui alat Anda ke versi terbaru yang tersedia untuk menyelesaikan kerentanan yang diketahui.

Sumber: Bleepingcomputer

Malware Android BrazKing Kembali Sebagai Trojan Perbankan yang Makin Tersembunyi

by

Trojan perbankan Android BrazKing telah kembali dengan overlay perbankan dinamis dan trik implementasi baru yang memungkinkannya beroperasi tanpa meminta izin berisiko.

Sampel malware baru dianalisis oleh para peneliti IBM Trusteer yang menemukannya di luar Play Store, di situs di mana orang berakhir setelah menerima pesan smishing (SMS).

Situs HTTPS ini memperingatkan calon korban bahwa mereka menggunakan versi Android yang sudah ketinggalan zaman dan menawarkan APK yang diduga akan memperbaruinya ke versi terbaru.

Sumber: IBM

Hanya meminta izin sekali

Jika pengguna menyetujui “unduhan dari sumber yang tidak dikenal,” malware dijatuhkan pada perangkat dan meminta akses ke ‘Layanan Aksesibilitas’.

Izin ini disalahgunakan untuk menangkap tangkapan layar dan penekanan tombol tanpa meminta izin tambahan yang berisiko menimbulkan kecurigaan.

Lebih khusus lagi, layanan aksesibilitas digunakan oleh BrazKing untuk aktivitas berbahaya berikut:

  • Membedah layar secara terprogram alih-alih mengambil tangkapan layar dalam format gambar. Ini dapat dilakukan secara terprogram tetapi pada perangkat yang tidak di-rooting yang akan memerlukan persetujuan eksplisit dari pengguna.
  • Kemampuan keylogger dengan membaca tampilan di layar.
  • Kemampuan RAT — BrazKing dapat memanipulasi aplikasi perbankan target dengan mengetuk tombol atau memasukkan teks.
  • Baca SMS tanpa izin ‘android.permission.READ_SMS’ dengan membaca pesan teks yang muncul di layar. Ini dapat memberi aktor akses ke kode 2FA.
  • Baca daftar kontak tanpa izin ‘android.permission.READ_CONTACTS’ dengan membaca kontak di layar “Kontak”.

Mulai android 11, Google telah mengkategorikan daftar aplikasi yang diinstal sebagai informasi sensitif, sehingga setiap malware yang mencoba untuk mengambilnya ditandai oleh Play Protect sebagai berbahaya.

Ini adalah masalah baru bagi semua trojan overlay perbankan yang perlu menentukan aplikasi bank mana yang diinstal pada perangkat yang terinfeksi untuk melayani layar login yang cocok.

BrazKing tidak lagi menggunakan permintaan API ‘getinstalledpackages’ seperti dulu tetapi menggunakan fitur diseksi layar untuk melihat aplikasi apa yang diinstal pada perangkat yang terinfeksi.

Ketika datang ke overlay, BrazKing sekarang melakukannya tanpa izin ‘System_Alert_Window’, sehingga tidak dapat melapisi layar palsu di atas aplikasi asli seperti trojan lainnya.

Sebaliknya, itu memuat layar palsu sebagai URL dari server penyerang di jendela tampilan web, ditambahkan dari dalam layanan aksesibilitas. Ini mencakup aplikasi dan semua jendelanya tetapi tidak memaksa keluar darinya.

Sumber: IBM

Saat mendeteksi login ke bank online, alih-alih menampilkan overlay built-in, malware sekarang akan terhubung ke server perintah dan kontrol untuk menerima overlay login yang benar untuk ditampilkan.

Sistem overlay dinamis ini memudahkan aktor ancaman untuk mencuri kredensial untuk berbagai bank yang lebih luas. Melayani overlay dari server penyerang juga memungkinkan mereka untuk memperbarui layar login yang diperlukan bertepatan dengan perubahan pada aplikasi atau situs perbankan yang sah atau menambahkan dukungan untuk bank baru.

Ketidakjelasan dan resistensi terhadap penghapusan

Versi baru BrazKing melindungi sumber daya internal dengan menerapkan operasi XOR menggunakan kunci hardcoded dan kemudian juga mengkodekannya dengan Base64.

Analis dapat dengan cepat membalikkan langkah-langkah ini, tetapi mereka masih membantu malware tidak diketahui ketika bersarang di perangkat korban.

Jika pengguna mencoba menghapus malware, dengan cepat mengetuk tombol ‘Kembali’ atau ‘Home’ untuk mencegah tindakan tersebut.

Trik yang sama digunakan ketika pengguna mencoba membuka aplikasi antivirus, berharap untuk memindai dan menghapus malware dalam alat keamanan.

Evolusi BrazKing menunjukkan bahwa penulis malware dengan cepat beradaptasi untuk memberikan versi tersembunyi dari alat mereka karena keamanan Android semakin ketat.

Kemampuan untuk merebut kode 2FA, kredensial, dan mengambil tangkapan layar tanpa menimbun izin membuat trojan jauh lebih kuat daripada dulu, jadi berhati-hatilah dengan unduhan APK di luar Play Store.

Menurut laporan IBM, BrazKing tampaknya dioperasikan oleh kelompok ancaman lokal, seperti yang beredar di situs web berbahasa Portugis.

Sumber: Bleepingcomputer