Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Peretas dapat mengambil alih beberapa ponsel Samsung atau Pixel hanya dengan nomor telepon Anda

by

mereka mengaktifkan eksekusi kode jarak jauh hanya dengan nomor telepon korban. Hanya satu dari eksploitasi paling serius yang memiliki nomor Common Vulnerabilities and Exposures (CVE) yang ditetapkan secara publik, dengan Google menahan sejumlah CVE yang terkait dengan kerentanan ini dalam pengecualian yang jarang terjadi pada protokol pengungkapan bug normal.

Perangkat berikut terpengaruh, menurut Project Zero Google.

  • Samsung; S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 and A04 series;
  • Vivo; S16, S15, S6, X70, X60 and X30 series;
  • Seri perangkat Pixel 6 dan Pixel 7 dari Google; Dan
  • kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.

Bug ini telah diperbaiki dalam pembaruan keamanan bulan Maret, yang sudah dimiliki oleh seri Pixel 7. Namun, seri Pixel 6 belum memilikinya, dan Google mengatakan bahwa pengguna yang menggunakan perangkat yang belum ditambal harus menonaktifkan Panggilan VoLTE dan Wi-Fi.

Adapun eksploitasi utama yang kami miliki informasinya, CVE-2023-24033, deskripsinya hanya mengatakan bahwa chipset modem baseband yang terpengaruh

Empat belas kerentanan lainnya (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, dan sembilan lainnya menunggu CVE) tidak begitu kritis tetapi masih membawa risiko kepada pengguna akhir. Agar eksploitasi berhasil, mereka membutuhkan “operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat.”

Untuk pengguna yang menunggu pembaruan dan menggunakan perangkat yang terpengaruh, pastikan untuk menonaktifkan Panggilan VoLTE dan Wi-Fi untuk saat ini. Jika Anda memiliki pembaruan keamanan bulan Maret yang tersedia tetapi belum diperbarui, mungkin sudah waktunya untuk melakukannya.

selengkapnya : xda-developers.com

Google memperingatkan pengguna untuk mengambil tindakan guna melindungi dari kelemahan yang dapat dieksploitasi dari jarak jauh di ponsel Android populer

by

Unit riset keamanan Google membunyikan alarm pada serangkaian kerentanan yang ditemukan di chip Samsung tertentu yang disertakan dalam lusinan model Android, perangkat yang dapat dikenakan, dan kendaraan, karena khawatir kelemahan tersebut dapat segera ditemukan dan dieksploitasi.

Dengan mendapatkan kemampuan untuk menjalankan kode dari jarak jauh pada tingkat baseband perangkat — pada dasarnya modem Exynos yang mengonversi sinyal sel menjadi data digital — penyerang akan dapat memperoleh akses yang hampir tak terbatas ke data yang mengalir masuk dan keluar dari perangkat yang terpengaruh, termasuk panggilan seluler, pesan teks, dan data seluler, tanpa memberi tahu korban.

Saat pengungkapan berlangsung, jarang melihat Google — atau firma riset keamanan mana pun — membunyikan alarm pada kerentanan dengan tingkat keparahan tinggi sebelum ditambal. Google mencatat risikonya kepada publik, menyatakan bahwa penyerang yang terampil “akan dapat dengan cepat membuat eksploitasi operasional” dengan penelitian dan upaya yang terbatas.

Peneliti Project Zero Maddie Stone menulis di Twitter bahwa Samsung memiliki waktu 90 hari untuk menambal bug, tetapi belum.

Samsung mengonfirmasi dalam daftar keamanan Maret 2023 bahwa beberapa modem Exynos rentan, memengaruhi beberapa produsen perangkat Android, tetapi memberikan sedikit detail lainnya.

Menurut Project Zero, perangkat yang terpengaruh mencakup hampir selusin model Samsung, perangkat Vivo, dan handset Pixel 6 dan Pixel 7 milik Google. Perangkat yang terpengaruh juga termasuk perangkat yang dapat dikenakan dan kendaraan yang mengandalkan chip Exynos untuk terhubung ke jaringan seluler.

Google mengatakan bahwa tambalan akan bervariasi tergantung pabrikannya, tetapi mencatat bahwa perangkat Pixel-nya sudah ditambal dengan pembaruan keamanan bulan Maret.

Sampai produsen yang terkena dampak mendorong pembaruan perangkat lunak kepada pelanggan mereka, Google mengatakan pengguna yang ingin melindungi diri mereka sendiri dapat mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) di pengaturan perangkat mereka, yang akan “menghilangkan risiko eksploitasi dari kerentanan ini. ”

Google mengatakan 14 kerentanan yang tersisa tidak terlalu parah karena memerlukan akses ke perangkat atau memiliki akses orang dalam atau akses istimewa ke sistem operator seluler.

selengkapnya : techcrunch.com

Aplikasi Android Shein Tertangkap Mengirimkan Data Papan Klip ke Server Jarak Jauh

by

Shein, awalnya bernama ZZKKO, adalah peritel online fast fashion China yang berbasis di Singapura. Aplikasi, yang saat ini berada di versi 9.0.0, memiliki lebih dari 100 juta unduhan di Google Play Store.

Raksasa teknologi itu mengatakan tidak “secara khusus mengetahui niat jahat apa pun di balik perilaku tersebut,” tetapi mencatat bahwa fungsi tersebut tidak diperlukan untuk melakukan tugas di aplikasi.

Lebih lanjut ditunjukkan bahwa meluncurkan aplikasi setelah menyalin konten apa pun ke clipboard perangkat secara otomatis memicu permintaan HTTP POST yang berisi data ke server “api-service[.]shein[.]com.”

Untuk mengurangi risiko privasi seperti itu, Google telah melakukan peningkatan lebih lanjut pada Android dalam beberapa tahun terakhir, termasuk menampilkan pesan bersulang saat aplikasi mengakses clipboard dan melarang aplikasi mendapatkan data kecuali jika aktif berjalan di latar depan.

“Mengingat pengguna ponsel sering menggunakan clipboard untuk menyalin dan menempelkan informasi sensitif, seperti kata sandi atau informasi pembayaran, konten clipboard dapat menjadi target yang menarik untuk serangan siber,” kata peneliti Dimitrios Valsamaras dan Michael Peck.

“Memanfaatkan papan klip dapat memungkinkan penyerang mengumpulkan informasi target dan mengekstraksi data yang berguna.”

sumber : thehackernews

Hindari 3 Aplikasi Scammy ini yang Masih Terdaftar di Play Store (20 Juta+ pemasangan)

by

Menurut perusahaan perangkat lunak Dr.Web, kategori baru aplikasi pelacakan aktivitas telah muncul di Google Play Store dan menghasilkan lebih dari 20 juta unduhan. Mereka menyebut dirinya sebagai pelacak kesehatan dan pedometer yang memberi Anda insentif untuk menjadi bugar dengan menjanjikan pembayaran hadiah uang tunai kepada mereka yang mencapai tujuan tertentu.

Jangan Instal 3 Aplikasi Ini
Laporan dari Dr.Web menunjukkan bahwa hadiah ini seringkali tidak mungkin diterima karena pengguna harus mengumpulkan hadiah dalam jumlah besar sebelum dipaksa untuk menonton lusinan iklan untuk mendapatkan uang tunai.

Setelah menonton semua iklan tersebut, pengguna disarankan menonton lebih banyak lagi untuk mempercepat proses hadiah.

Aplikasi tidak memverifikasi data terkait pembayaran apa pun yang disediakan oleh pengguna, sehingga kemungkinan menerima uang yang dijanjikan dari aplikasi ini sangat kecil.

Aplikasi tersebut masih ada dalam Google Play Store, yaitu Lucky Step, WalkingJoy, dan Lucky Habit.

Lucky Step, WalkingJoy, dan Lucky Habit
Jangan instal ketiga aplikasi ini di perangkat Android Anda

Ketiga aplikasi itu terhubung dengan server perintah & kontrol yang sama, dan biasanya digunakan oleh penyerang untuk mengirim petunjuk arah ke sistem yang terinfeksi malware. Developer curang ini menghasilkan uang saat Anda melihat iklan mereka.

Satu Hal yang Dapat Anda Lakukan untuk Melindungi Diri dari Penginstalan Aplikasi Berbahaya
Baca bagian komentar sebelum menginstal aplikasi dari pengembang yang tidak Anda kenal, bahkan jika aplikasi tersebut terdaftar di Play Store. Disitulah terdapat bendera merah yang dapat memperingatkan untuk menjauh dari aplikasi tertentu.

Satu lagi Aplikasi Berbahaya
Laporan Dr.Web menyebutkan aplikasi kebugaran FitStar yang membuat rencana penurunan berat badan khusus seharga 29 rubel (setara dengan 41 sen AS). Namun, yang tidak diketahui oleh mereka yang berlangganan adalah bahwa program yang mereka daftarkan hanya berlaku satu hari. Di akhir uji coba, pelanggan secara otomatis mendaftar untuk layanan empat hari dengan tambahan 980 rubel (setara dengan $13,86). Aplikasi ini juga masih terdaftar di Google Play Store.

Selengkapnya: PHONE ARENA

Hati-hati Pengguna Android: Malware Hook Baru dengan Kemampuan RAT Muncul

by

trojan

Aktor ancaman di balik trojan perbankan BlackRock dan ERMAC Android telah merilis malware lain untuk disewakan yang disebut Hook yang memperkenalkan kemampuan baru untuk mengakses file yang disimpan di perangkat dan membuat sesi interaktif jarak jauh.

ThreatFabric, dalam laporan yang dibagikan dengan The Hacker News, mencirikan Hook sebagai fork ERMAC baru yang diiklankan untuk dijual seharga $7.000 per bulan sambil menampilkan “semua kemampuan pendahulunya”.

Sebagian besar aplikasi keuangan yang ditargetkan oleh malware tersebut berada di AS, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal.

Hook adalah hasil karya aktor ancaman yang dikenal sebagai DukeEugene dan mewakili evolusi terbaru ERMAC, yang pertama kali diungkapkan pada September 2021 dan didasarkan pada trojan lain bernama Cerberus yang kode sumbernya bocor pada tahun 2020.

Keluarga Malware Terdeteksi Paling Banyak

Di antara fitur-fitur utama lainnya yang akan ditambahkan ke Hook adalah kemampuan untuk melihat dan berinteraksi dari jarak jauh dengan layar perangkat yang terinfeksi, mendapatkan file, mengekstrak frase benih dari dompet crypto, dan melacak lokasi ponsel, mengaburkan batas antara spyware dan malware perbankan.

ThreatFabric mengatakan artefak Hook diamati sejauh ini dalam tahap pengujian, tetapi mencatat bahwa itu dapat dikirimkan melalui kampanye phishing, saluran Telegram, atau dalam bentuk aplikasi dropper Google Play Store.

selengkapnya : thehackernews

Infeksi Malware Android SpyNote Melonjak Setelah Source Code Leak

by

SpyNote (atau SpyMax) tiba-tiba mengalami peningkatan deteksi pada kuartal terakhir tahun 2022, yang dikaitkan dengan kebocoran kode sumber dari salah satu yang terbaru, yang dikenal sebagai ‘CypherRat.’

‘CypherRat’ menggabungkan kemampuan memata-matai SpyNote, seperti menawarkan akses jarak jauh, pelacakan GPS, dan pembaruan status dan aktivitas perangkat, dengan fitur trojan perbankan yang menyamar sebagai lembaga perbankan untuk mencuri kredensial akun.

Pelaku ancaman dengan cepat mengambil kode sumber malware dan meluncurkan kampanye mereka sendiri. Hampir seketika, varian khusus muncul yang menargetkan bank terkemuka seperti HSBC dan Deutsche Bank.

Beberapa bank yang ditargetkan oleh SpyNote (ThreatFabric)

Aktivitas ini diamati oleh analis ThreatFabric, yang memperingatkan tentang kemungkinan CypherRat menjadi ancaman yang lebih meluas.

Fitur malware SpyNote
Semua varian SpyNote yang beredar bergantung pada permintaan akses ke Layanan Aksesibilitas Android untuk diizinkan menginstal aplikasi baru, mencegat pesan SMS (untuk bypass 2FA), mengintai panggilan, dan merekam video dan audio di perangkat.

Aplikasi berbahaya meminta akses ke Layanan Aksesibilitas (ThreatFabric)

ThreatFabric mencantumkan yang berikut ini sebagai fitur “menonjol”:

Gunakan Camera API untuk merekam dan mengirim video dari perangkat ke server C2

  • GPS dan informasi pelacakan lokasi jaringan
  • Mencuri kredensial akun Facebook dan Google.
  • Gunakan Aksesibilitas (A11y) untuk mengekstrak kode dari Google Authenticator.
  • Gunakan keylogging didukung oleh layanan Aksesibilitas untuk mencuri kredensial perbankan.
  • Untuk menyembunyikan kode jahatnya dari pengawasan, versi terbaru SpyNote menggunakan pengaburan string dan menggunakan pengemas komersial untuk membungkus APK.

Selain itu, semua informasi yang diambil dari SpyNote ke server C2-nya disamarkan menggunakan base64 untuk menyembunyikan host.

Pelaku ancaman saat ini menggunakan CypherRat sebagai trojan perbankan, tetapi malware tersebut juga dapat digunakan sebagai spyware dalam operasi spionase bertarget volume rendah.

pengguna disarankan untuk sangat berhati-hati selama penginstalan aplikasi baru, terutama jika berasal dari luar Google Play, dan menolak permintaan untuk memberikan izin untuk mengakses Layanan Aksesibilitas.

Sayangnya, meskipun Google berupaya terus-menerus untuk menghentikan penyalahgunaan API Layanan Aksesibilitas oleh malware Android, masih ada cara untuk melewati batasan yang diberlakukan.

sumber : bleepingcomputer

Serangan EarSpy Menguping Melaui Sensor Gerak Android

by

Sebuah tim peneliti telah mengembangkan serangan penyadapan untuk perangkat Android yang dapat, dalam berbagai tingkatan, mengenali jenis kelamin dan identitas penelepon, dan bahkan membedakan percakapan pribadi.

Dinamakan EarSpy, serangan saluran samping bertujuan untuk mengeksplorasi kemungkinan baru penyadapan melalui penangkapan pembacaan data sensor gerak yang disebabkan oleh gema dari speaker telinga di perangkat seluler.

Sementara jenis serangan ini telah dieksplorasi di pengeras suara smartphone, speaker telinga dianggap terlalu lemah untuk menghasilkan getaran yang cukup untuk risiko penyadapan untuk mengubah serangan saluran samping menjadi serangan yang praktis.

Bukti kemajuan ini ditunjukkan di bawah, di mana earphone OnePlus 3T 2016 hampir tidak terdaftar di spektogram sementara speaker telinga stereo OnePlus 7T 2019 menghasilkan lebih banyak data secara signifikan.

ear speaker kiri ke kanan untuk Oneplus 3T, Oneplus 7T, Oneplus 7T loudspeaker (sumber : arxiv.org.org)

Percobaan dan hasil
Para peneliti menggunakan perangkat OnePlus 7T dan OnePlus 9 dalam percobaan mereka, bersama dengan berbagai rangkaian audio pra-rekaman yang diputar hanya melalui pengeras suara kedua perangkat.

Tim juga menggunakan aplikasi pihak ketiga ‘Physics Toolbox Sensor Suite’ untuk menangkap data akselerometer selama panggilan simulasi dan kemudian memasukkannya ke MATLAB untuk dianalisis dan mengekstrak fitur dari aliran audio.

Algoritme pembelajaran mesin (ML) dilatih menggunakan kumpulan data yang tersedia untuk mengenali konten ucapan, identitas penelepon, dan jenis kelamin.

Hasil pengujian pada OnePlus 7T (arxiv.org)

Keterbatasan dan solusi
Satu hal yang dapat mengurangi kemanjuran serangan EarSpy adalah volume yang dipilih pengguna untuk speaker telinga mereka. Volume yang lebih rendah dapat mencegah penyadapan melalui serangan saluran samping ini dan juga lebih nyaman untuk telinga.

Android 13 telah memperkenalkan batasan dalam mengumpulkan data sensor tanpa izin untuk pengambilan sampel kecepatan data di atas 200 Hz.

Para peneliti menyarankan agar produsen ponsel memastikan tekanan suara tetap stabil selama panggilan dan menempatkan sensor gerak pada posisi di mana getaran yang berasal dari dalam tidak memengaruhinya atau setidaknya memiliki dampak seminimal mungkin.

sumber : bleeping computer

Samsung Galaxy S22 diretas dua kali pada hari pertama Pwn2Own Toronto

by

Para kontestan telah meretas smartphone Samsung Galaxy S22 dua kali selama hari pertama kompetisi peretasan Pwn2Own Toronto 2022, edisi ke-10 dari acara yang berfokus pada konsumen.

Kontestan lain, Chim, juga mendemonstrasikan eksploitasi sukses yang menargetkan Samsung Galaxy S22 dan mampu melakukan serangan validasi masukan yang tidak tepat dan menghasilkan $25.000 (50% dari hadiah untuk putaran kedua penargetan perangkat yang sama) dan 5 poin Master of Pwn.

“Untuk putaran kedua dan selanjutnya pada setiap target, semua pemenang lainnya akan menerima 50% dari paket hadiah, namun mereka tetap akan mendapatkan poin Master of Pwn penuh.”

Menurut aturan kontes, dalam kedua kasus tersebut, perangkat Galaxy S22 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan yang tersedia terpasang.

Selama hari pertama kompetisi ini, kontestan juga berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di printer dan router dari berbagai vendor, termasuk Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology, dan HP.

Kontes diperpanjang hingga empat hari
Selama acara peretasan Pwn2Own Toronto 2022 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan dapat menargetkan ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, speaker cerdas, dan perangkat lain, semuanya aktif sampai saat ini dan dalam konfigurasi default mereka.

Mereka dapat memenangkan hadiah tertinggi dalam kategori ponsel, dengan hadiah uang tunai hingga $200.000 untuk meretas smartphone Google Pixel 6 dan Apple iPhone 13.

Meretas perangkat Google dan Apple juga dapat memberikan bonus $50.000 jika eksploit dijalankan dengan hak istimewa tingkat kernel, menjadikan penghargaan maksimum untuk satu tantangan menjadi total $250.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel.

Pwn2Own Toronto 2022 – Papan peringkat hari pertama (ZDI)

sumber : bleeping computer