Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

by

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer

Microsoft Defender sekarang mendeteksi kerentanan Android dan iOS

by

Microsoft mengatakan dukungan manajemen ancaman dan kerentanan untuk Android dan iOS telah mencapai ketersediaan umum di Microsoft Defender for Endpoint, platform keamanan titik akhir perusahaan perusahaan.

“Dengan cakupan lintas platform baru ini, kemampuan manajemen ancaman dan kerentanan sekarang mendukung semua platform perangkat utama di seluruh organisasi mencakup workstation, server, dan perangkat seluler,” Microsoft menjelaskan.

Manajemen kerentanan Android dan iOS memungkinkan admin mengurangi area serangan permukaan titik akhir seluler dan, sebagai akibat langsung, meningkatkan ketahanan organisasi mereka terhadap serangan yang masuk.

Kemampuan baru ini memungkinkan organisasi untuk menemukan, memprioritaskan, dan memulihkan kerentanan perangkat lunak dan sistem operasi dengan lebih mudah di perangkat Android.

Pembela untuk inventaris perangkat Endpoint (Microsoft)

Defender for Endpoint sekarang melindungi semua platform utama
Ini adalah bagian dari upaya untuk memperluas kemampuan platform keamanan di semua platform utama untuk membantu tim keamanan mempertahankan pengguna titik akhir mereka melalui solusi keamanan terpadu.

Misalnya, pada Juni 2020, Defender for Endpoint menambahkan dukungan untuk lebih banyak platform non-Windows (umumnya tersedia untuk pelanggan Linux dan dalam pratinjau publik untuk Android). Satu tahun kemudian, Redmond juga menyertakan dukungan untuk macOS sebagai bagian dari pratinjau terbatas.

Satu bulan kemudian, pada Juli 2020, solusi keamanan titik akhir diperbarui dengan fitur Skor Aman Microsoft untuk Perangkat untuk mengevaluasi status konfigurasi keamanan kolektif perangkat di jaringan perusahaan. Ini dapat meningkatkan keamanan titik akhir organisasi melalui tindakan yang direkomendasikan.

Mulai Oktober 2020, platform keamanan titik akhir perusahaan Microsoft juga memberikan laporan kepada admin yang membantu mereka melacak perangkat Windows dan macOS yang rentan, termasuk tingkat keparahan kerentanan, ketersediaan eksploitasi, usia kerentanan, dan perangkat yang rentan menurut sistem operasi.

Sumber : Bleeping Computer

Pengguna Android memperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus

by

Pengguna Android diperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus yang dapat membahayakan data ponsel.

Beberapa aplikasi berbeda dapat digunakan untuk mengambil pesan yang dihapus.

Tetapi WAMR tampaknya mengambil data yang dihapus dari WhatsApp, Facebook Messenger, dan platform lainnya. Karena enkripsi pada perangkat Android, WAMR tidak dapat mengakses pesan secara langsung.

Sebagai gantinya, aplikasi menggunakan riwayat pemberitahuan Anda untuk membaca pesan dan membuat cadangan pesan, menurut informasi dari Google App store.

Aplikasi WAMR akan mendeteksi pesan yang dihapus dan kemudian menampilkan pemberitahuan kepada Anda.

Media tambahan, termasuk gambar, video, gif animasi, audio, catatan suara, dokumen, stiker, juga dapat dipulihkan dari pesan.

Namun, aplikasi ini mencatat bahwa ini bukan cara resmi untuk memulihkan pesan yang dihapus, dan memperingatkan bahwa itu dapat menghadapi batasan berdasarkan aplikasi tempat data pesan berada, atau bahkan dari sistem operasi Android.

ketika anda menginstal aplikasi WAMR, beberapa izin harus diberikan agar dapat beroperasi di perangkat Android Anda. Izin ini dapat membahayakan data dari aplikasi lain di ponsel Anda.

Koran Keamanan Informasi melaporkan bahwa riwayat pencarian internet dan daftar kontak termasuk di antara data yang dapat diakses oleh aplikasi WAMR.

Outlet tersebut juga melaporkan bahwa terlepas dari potensi risiko keamanan, aplikasi WAMR telah diunduh lebih dari 10 juta kali.

Memilih untuk mengunduh aplikasi seperti WAMR yang dapat membahayakan data dan keamanan di ponsel Anda adalah risiko yang harus dipertimbangkan dengan cermat.

Sumber : NEW YORK POST

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Mengapa Google memperingatkan pengguna Android untuk memperbarui Microsoft Teams secepatnya

by

Google telah mengirimkan peringatan penting kepada pengguna Android tentang aplikasi Microsoft Teams.

Sebuah bug ditemukan di aplikasi Microsoft Teams versi Android bulan lalu yang dapat memblokir panggilan yang dilakukan ke nomor darurat.

Awalnya, diperkirakan hanya panggilan yang dilakukan ke nomor darurat AS, 911, yang diblokir tetapi sekarang Google telah mengungkapkan panggilan ke nomor darurat lain seperti 999 di Inggris dan 112 di Eropa juga dapat terpengaruh.

Meskipun perbaikan penuh akan datang ke ponsel Android pada pembaruan Januari 2022, Google telah mengeluarkan email kepada semua pengguna yang mendesak mereka untuk memperbarui aplikasi Microsoft Teams mereka.

Email yang dikirim oleh Google mengatakan: “Halo, Anda mungkin memiliki versi aplikasi Microsoft Teams yang diinstal pada perangkat Android yang mungkin secara tidak sengaja mencegah panggilan darurat (misalnya 911, 999, 112, dll. tergantung pada wilayah Anda) saat Anda berada tidak masuk ke aplikasi.

“Masalah ini disebabkan oleh interaksi yang tidak disengaja antara aplikasi Microsoft Teams dan sistem operasi Android yang mendasarinya. Silakan kunjungi Google Play Store dan segera perbarui ke versi terbaru Microsoft Teams.”

Pesan tersebut menambahkan: “Jika Anda telah memperbarui aplikasi Microsoft Teams setelah 10 Desember 2021, Anda dapat mengabaikan email ini.”

Versi terbaru Microsoft Teams untuk Android dirilis pada 18 Desember, dengan build 1416/1.0.0.2021195305.

Selengkapnya: NYPost

Trojan perbankan Android menyebar melalui halaman Google Play Store palsu

by

Trojan perbankan Android yang menargetkan Itaú Unibanco, penyedia layanan keuangan besar di Brasil dengan 55 juta pelanggan di seluruh dunia, telah menerapkan trik yang tidak biasa untuk menyebar ke perangkat.

Para aktor telah menyiapkan halaman yang terlihat sangat mirip dengan toko aplikasi resmi Google Play Android untuk mengelabui pengunjung agar berpikir bahwa mereka memasang aplikasi dari layanan tepercaya.

Sumber: BleepingComputer

Malware tersebut berpura-pura menjadi aplikasi perbankan resmi untuk Itaú Unibanco dan menampilkan ikon yang sama dengan aplikasi yang sah.

Jika pengguna mengklik tombol “Instal”, mereka ditawari untuk mengunduh APK, yang merupakan tanda pertama penipuan. Aplikasi Google Play Store diinstal melalui antarmuka toko, tidak pernah meminta pengguna untuk mengunduh dan menginstal program secara manual.

Para peneliti di Cyble menganalisis malware, menemukan bahwa setelah dieksekusi, ia mencoba membuka aplikasi Itaú yang sebenarnya dari Play Store yang sebenarnya.

Jika berhasil, ia menggunakan aplikasi yang sebenarnya untuk melakukan transaksi penipuan dengan mengubah bidang input pengguna.

Aplikasi tidak meminta izin berbahaya apa pun selama penginstalan, sehingga menghindari peningkatan deteksi yang mencurigakan atau berisiko dari AV.

Alih-alih, malware ini memiliki tujuan untuk memanfaatkan Layanan Aksesibilitas, yang merupakan semua yang dibutuhkan oleh malware seluler untuk melewati semua keamanan di sistem Android.

Hanya pengguna yang memiliki kesempatan untuk melihat tanda-tanda penyalahgunaan dan menghentikan malware sebelum sempat melakukan tindakan merusak pada perangkat.

Tanda-tanda ini datang dalam bentuk aplikasi yang meminta izin untuk melakukan gerakan, mengambil konten jendela, dan mengamati tindakan pengguna.

Selengkapnya: Bleeping Computer