Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Peneliti Mengungkap Layanan Darknet yang Mengizinkan Peretas Meng-Trojan Aplikasi Android Resmi

by

Para peneliti telah menjelaskan kampanye malware hybrid baru yang menargetkan sistem operasi Android dan Windows dalam upaya untuk memperluas kumpulan korbannya.

Serangan tersebut memerlukan penggunaan malware yang berbeda seperti ERMAC, Erbium, Aurora, dan Laplas, menurut laporan ThreatFabric yang dibagikan dengan The Hacker News.

“Kampanye ini mengakibatkan ribuan korban,” kata perusahaan cybersecurity Belanda, menambahkan, “pencuri Erbium berhasil mengekstraksi data dari lebih dari 1.300 korban.”

Infeksi ERMAC dimulai dengan situs web penipuan yang mengklaim menawarkan perangkat lunak otorisasi Wi-Fi untuk Android dan Windows yang, ketika dipasang, dilengkapi dengan fitur untuk mencuri seed phrase dari dompet kripto dan data sensitif lainnya.

ThreatFabric mengatakan juga menemukan sejumlah aplikasi berbahaya yang merupakan versi trojan dari aplikasi yang sah seperti Instagram, dengan operator menggunakannya sebagai dropper untuk mengirimkan muatan berbahaya yang disamarkan.

Aplikasi nakal, yang dijuluki Zombinder, dikatakan telah dikembangkan menggunakan layanan pengikatan APK yang diiklankan di web gelap oleh aktor ancaman terkenal sejak Maret 2022.

Aplikasi zombie semacam itu juga telah digunakan untuk mendistribusikan trojan perbankan Android seperti SOVA dan Xenomorph yang menargetkan pelanggan antara lain di Spanyol, Portugal, dan Kanada.

Menariknya, opsi pengunduhan untuk Windows di situs web jebakan yang mendistribusikan ERMAC dirancang untuk menyebarkan pencuri informasi Erbium dan Aurora pada sistem yang disusupi.

Erbium, yang merupakan malware-as-a-service (MaaS) berlisensi untuk $1.000 per tahun, tidak hanya mencuri kata sandi dan informasi kartu kredit, tetapi juga telah diamati bertindak sebagai saluran untuk menjatuhkan clipper Laplas yang digunakan untuk membajak transaksi crypto .

“Kehadiran trojan yang begitu beragam mungkin juga menunjukkan bahwa laman landas berbahaya digunakan oleh banyak pelaku dan diberikan kepada mereka sebagai bagian dari layanan distribusi pihak ketiga,” para peneliti berteori.

Selengkapnya: The Hacker News

Samsung Galaxy S22 diretas dua kali pada hari pertama Pwn2Own Toronto

by

Para kontestan telah meretas smartphone Samsung Galaxy S22 dua kali selama hari pertama kompetisi peretasan Pwn2Own Toronto 2022, edisi ke-10 dari acara yang berfokus pada konsumen.

Kontestan lain, Chim, juga mendemonstrasikan eksploitasi sukses yang menargetkan Samsung Galaxy S22 dan mampu melakukan serangan validasi masukan yang tidak tepat dan menghasilkan $25.000 (50% dari hadiah untuk putaran kedua penargetan perangkat yang sama) dan 5 poin Master of Pwn.

“Untuk putaran kedua dan selanjutnya pada setiap target, semua pemenang lainnya akan menerima 50% dari paket hadiah, namun mereka tetap akan mendapatkan poin Master of Pwn penuh.”

Menurut aturan kontes, dalam kedua kasus tersebut, perangkat Galaxy S22 menjalankan sistem operasi Android versi terbaru dengan semua pembaruan yang tersedia terpasang.

Selama hari pertama kompetisi ini, kontestan juga berhasil mendemonstrasikan eksploit yang menargetkan bug zero-day di printer dan router dari berbagai vendor, termasuk Canon, Mikrotik, NETGEAR, TP-Link, Lexmark, Synology, dan HP.

Kontes diperpanjang hingga empat hari
Selama acara peretasan Pwn2Own Toronto 2022 yang diselenggarakan oleh Zero Day Initiative (ZDI) Trend Micro, peneliti keamanan dapat menargetkan ponsel, hub otomasi rumah, printer, router nirkabel, penyimpanan yang terhubung ke jaringan, speaker cerdas, dan perangkat lain, semuanya aktif sampai saat ini dan dalam konfigurasi default mereka.

Mereka dapat memenangkan hadiah tertinggi dalam kategori ponsel, dengan hadiah uang tunai hingga $200.000 untuk meretas smartphone Google Pixel 6 dan Apple iPhone 13.

Meretas perangkat Google dan Apple juga dapat memberikan bonus $50.000 jika eksploit dijalankan dengan hak istimewa tingkat kernel, menjadikan penghargaan maksimum untuk satu tantangan menjadi total $250.000 untuk rantai eksploitasi penuh dengan akses tingkat kernel.

Pwn2Own Toronto 2022 – Papan peringkat hari pertama (ZDI)

sumber : bleeping computer

Kerentanan besar yang berlangsung lama membuat jutaan handset Android terbuka lebar untuk pencurian data

by

Menurut tweet dari Łukasz Siewierski Google (melalui Mishaal Rahman, 9to5Google), peretas dan “orang dalam yang jahat” telah dapat membocorkan kunci penandatanganan platform yang digunakan oleh beberapa produsen Android untuk menandatangani aplikasi sistem yang digunakan pada perangkat Android.

Kerentanan jangka panjang memengaruhi LG, Samsung, dan produsen terkait Android lainnya
sistem yang mempercayai aplikasi yang ditandatangani oleh kunci yang sama yang digunakan untuk mengautentikasi sistem operasi itu sendiri. Jadi Anda bisa melihat apa masalahnya di sini. Aktor jahat yang mengontrol kunci-kunci ini dapat membuat Android “mempercayai” aplikasi sarat malware di tingkat sistem.

Sementara semua sumber kunci yang bocor belum teridentifikasi, perusahaan yang disebutkan adalah sebagai berikut:

  • Samsung
  • LG
  • Mediatek
  • Szroco (perusahaan yang memproduksi tablet Onn Walmart)
  • Revoview

Google mengatakan bahwa kerentanan dilaporkan pada bulan Mei tahun ini dan bahwa perusahaan yang terlibat telah “mengambil tindakan perbaikan untuk meminimalkan dampak pengguna.

Google, dalam sebuah pernyataan, mengatakan bahwa pengguna Android dilindungi melalui fitur Google Play Store Protect, dan melalui tindakan yang diambil oleh produsen. Google menyatakan bahwa eksploit ini tidak memengaruhi aplikasi apa pun yang diunduh dari Play Store.

Apa yang perlu Anda lakukan untuk membatasi eksposur Anda
Google merekomendasikan agar perusahaan yang terlibat menukar kunci penandatanganan yang saat ini digunakan dan berhenti menggunakan kunci yang bocor. Ini juga menunjukkan bahwa setiap perusahaan memulai penyelidikan untuk memahami bagaimana kunci itu bocor.

Jadi apa yang dapat Anda lakukan sebagai pemilik ponsel Android yang mungkin terpengaruh? Pastikan handset Anda menjalankan Android versi terbaru dan instal semua pembaruan keamanan segera setelah tiba.

Yang menakutkan adalah bahwa kerentanan ini tampaknya telah ada selama bertahun-tahun.

sumber : phone arena

Kunci penandatanganan aplikasi Android Samsung telah bocor, digunakan untuk menandatangani malware

by

Łukasz Siewierski, anggota Tim Keamanan Android Google, memposting di pelacak masalah Inisiatif Kerentanan Mitra Android (AVPI) yang merinci kunci sertifikat platform yang bocor yang secara aktif digunakan untuk menandatangani malware.

Posting ini hanyalah daftar kunci, tetapi menjalankan masing-masing melalui APKMirror atau situs VirusTotal Google akan memberi nama pada beberapa kunci yang disusupi: Samsung, LG, dan Mediatek adalah pemukul berat pada daftar kunci yang bocor, bersama dengan beberapa OEM yang lebih kecil seperti Revoview dan Szroco, yang membuat tablet Onn Walmart.

Perusahaan-perusahaan ini entah bagaimana kunci penandatanganan mereka bocor ke pihak luar, dan sekarang Anda tidak dapat mempercayai bahwa aplikasi yang mengklaim berasal dari perusahaan-perusahaan ini benar-benar berasal dari mereka. Lebih buruk lagi, “kunci sertifikat platform” yang hilang memiliki beberapa izin serius.

Samsung bukan hanya OEM Android terbesar yang mengalami kebocoran kunci penandatanganan, tetapi juga pengguna terbesar dari kunci yang bocor. Tautan APKMirror sebelumnya menunjukkan betapa buruknya itu. Kunci Samsung yang disusupi digunakan untuk semuanya: Samsung Pay, Bixby, Samsung Account, aplikasi ponsel, dan sejuta hal lain yang dapat Anda temukan di 101 halaman hasil untuk kunci tersebut. Dimungkinkan untuk membuat pembaruan berbahaya untuk salah satu dari aplikasi ini, dan Android akan dengan senang hati menginstalnya di atas aplikasi sebenarnya. Beberapa pembaruan mulai hari ini, menandakan Samsung masih belum mengubah kuncinya.

Selengkapnya: ars TECHNICA

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

by

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

by

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

Google Membayar Denda Sebesar $391,5 Juta Untuk Melacak Lokasi Pengguna Android

by

Google membayar denda sebesar $391,5 juta untuk gugatan privasi yang diajukan oleh jaksa agung AS dari 40 negara bagian.

Sesuai kesepakatan, jaksa agung AS telah menemukan bahwa raksasa pencarian menyesatkan pengguna Android dan telah melacak lokasi mereka bahkan ketika mereka menonaktifkan pelacakan GPS, dan ini telah terjadi sejak 2014.

Google membayar penalti dikarenakan melacak lokasi pengguna tanpa persetujuan
Google menggunakan ‘Aktivitas Web & Aplikasi’ untuk melacak lokasi dan riwayat pengguna, yang memungkinkan mereka mengumpulkan, menyimpan, dan memproses data pengguna akhir tanpa persetujuan mereka.

Google harus menjadi lebih transparan dengan pengguna android mengenai pelacakan lokasi dan bagaimana data pengguna akan diproses.

Persyaratan transparansi penyelesaian ini akan memastikan bahwa Google tidak hanya membuat pengguna mengetahui bagaimana data lokasi mereka digunakan, tetapi juga bagaimana mengubah pengaturan akun mereka jika mereka ingin menonaktifkan pengaturan akun terkait lokasi.

Kemudian, Google mengambil solusi dan memperbaiki prosedure pelacak lokasinya dan menghentikan pengguna yang menyesatkan untuk hal yang sama

Selain itu, Google kembali didenda $170 juta oleh Frandce National Commission on Informatics and Liberty (CNIL) atas kebebasan persetujuan pengguna internet dengan mempersulit penonaktifan cookie palacakan situs web dengan opsi yang disembunyikan di balik beberapa navigasi

Google membayar penalti lebih dari 5 miliar penalti untuk eksploitasi data pengguna

  • Google membayar denda $2,72 miliar karena menyalahgunakan posisi pasar dominannya untuk memanipulasi hasil pencarian pada Juni 2017
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar €220 juta untuk layanan pendukung yang merugikan pesaing pada Juni 2021.
  • Google membayar denda sebesar $1,7 miliar untuk praktik antipersaingan dalam periklanan digital pada Maret 2019.

Gugatan ini pertama kali diajukan oleh empat pengacara AS pada Januari 2021 untuk melacak lokasi pengguna tanpa persetujuan mereka dan sekarang Google telah membayar penyelesaian untuk gugatan class action lawsuit tersebut

sumber : the cyber security times

Dua Kampanye Spyware Android yang Menargetkan Uyghurs

by Leave a Comment

Dua kampanye pengawasan jangka panjang telah ditemukan menargetkan komunitas Uyghur di China dan di tempat lain dengan alat spyware Android yang dirancang untuk mengumpulkan informasi sensitif dan melacak keberadaan mereka.

Ini mencakup jenis malware yang sebelumnya tidak terdokumentasi yang disebut BadBazaar dan varian terbaru dari artefak spionase yang dijuluki MOONSHINE oleh para peneliti dari Citizen Lab Universitas Toronto pada September 2019.

BadBazaar, setelah diinstal, hadir dengan beberapa fitur yang memungkinkannya mengumpulkan log panggilan, lokasi GPS, pesan SMS, dan file yang diinginkan; merekam panggilan telepon; ambil foto; dan mengekstrak metadata perangkat yang substansial.

Serangan yang menggunakan MOONSHINE, dalam nada yang sama, telah menggunakan lebih dari 50 aplikasi berbahaya sejak Juli 2022 yang direkayasa untuk mengumpulkan data pribadi dari perangkat yang terinfeksi, selain merekam audio dan mengunduh file sewenang-wenang.

Perkembangan ini juga mengikuti laporan dari Google Project Zero minggu lalu, yang mengungkap bukti vendor pengawasan komersial yang tidak disebutkan namanya mempersenjatai tiga kelemahan keamanan zero-day di ponsel Samsung dengan chip Exynos yang menjalankan kernel versi 4.14.113. Lubang keamanan dipasang oleh Samsung pada Maret 2021.

Yang mengatakan, raksasa pencarian mengatakan eksploitasi mencerminkan pola yang mirip dengan kompromi baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk menargetkan pengguna di Italia dan Kazakhstan dengan implan yang disebut Hermit, yang telah dikaitkan dengan perusahaan Italia RCS Lab.

sumber : the hacker news