Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Google meningkatkan privasi Android dengan dukungan untuk DNS-over-HTTP/3

by

Google telah menambahkan dukungan untuk protokol DNS-over-HTTP/3 (DoH3) di Android 11 dan yang lebih baru untuk meningkatkan privasi kueri DNS sambil memberikan kinerja yang lebih baik.

HTTP/3 adalah versi utama ketiga dari Hypertext Transfer Protocol, yang mengandalkan QUIC, protokol transport multipleks yang dibangun di atas UDP, daripada TCP seperti versi sebelumnya.

Protokol baru memperbaiki masalah “pemblokiran head-of-line,” yang memperlambat transaksi data internet ketika sebuah paket hilang atau disusun ulang, sesuatu yang cukup umum ketika berpindah-pindah di ponsel dan sering berpindah koneksi.

Perbandingan tumpukan protokol (Wikipedia)

Android sebelumnya mendukung DNS-over-TLS (DoT) untuk versi 9 dan yang lebih baru untuk meningkatkan privasi kueri DNS, tetapi sistem ini pasti memperlambat permintaan DNS karena overhead enkripsi.

Selain itu, DoT memerlukan negosiasi ulang lengkap dari koneksi baru saat mengubah jaringan. Sebaliknya, QUIC dapat melanjutkan koneksi yang ditangguhkan dalam satu RTT (waktu yang dibutuhkan sinyal untuk mencapai tujuan).

Dengan DoH3, banyak beban kinerja DoT terangkat, dan menurut pengukuran Google, mencapai peningkatan kinerja 24% untuk waktu kueri rata-rata. Dalam beberapa kasus, Google telah melihat peningkatan kinerja hingga 44%.

Pengukuran latensi kueri (Google)

Selain itu, DoH3 dapat membantu jaringan yang tidak dapat diandalkan, bahkan mengungguli DNS tradisional berkat mekanisme kontrol aliran proaktif yang segera menghasilkan peringatan kegagalan pengiriman paket alih-alih menunggu waktu habis.

DNS-over-HTTPS sudah didukung secara luas oleh banyak penyedia DNS untuk memberikan peningkatan privasi saat melakukan permintaan DNS.

Dengan Google yang mendukung DNS-over-HTTP/3 Android dan DNS-over-QUIC sekarang sebagai standar yang diusulkan, kemungkinan besar kami akan segera melihat peningkatan adopsi oleh penyedia DNS.

Namun, sebagai bagian dari peluncuran fitur ini, perangkat Android akan menggunakan Cloudflare DNS dan Google Public DNS, yang sudah mendukung DNS-over-QUIC.

Di masa mendatang, Google berencana menambahkan dukungan untuk penyedia DoH3 lainnya melalui penggunaan Discovery of Designated Resolver (DDR), yang secara otomatis memilih penyedia terbaik untuk konfigurasi spesifik Anda.

Keunggulan lain dari DoH3 adalah penggunaan Rust dalam implementasinya, yang menghasilkan sistem lean yang terdiri dari 1.640 baris kode yang menggunakan thread runtime tunggal, bukan empat DoT.

Hasilnya adalah sistem tingkat rendah yang berkinerja dengan sedikit ketergantungan, ringan, dan menggunakan bahasa yang aman untuk memori yang mengurangi jumlah bug yang dapat dimanfaatkan penyerang untuk menyalahgunakannya.

Pengguna akhir tidak perlu melakukan tindakan apa pun untuk mengaktifkan fitur baru, karena Android akan menangani bagian ini secara otomatis.

Sumber: Bleeping Computer

Aplikasi Penipuan Penagihan Dapat Menonaktifkan Wi-Fi Android Dan Mencegat Pesan Teks

by Leave a Comment

Pengembang malware Android meningkatkan permainan penipuan penagihan mereka dengan aplikasi yang menonaktifkan koneksi Wi-Fi, secara diam-diam berlangganan pengguna ke layanan nirkabel yang mahal, dan mencegat pesan teks, semua dalam upaya untuk mengumpulkan biaya besar dan kuat dari pengguna yang tidak curiga, kata Microsoft pada hari Jumat.

Kelas ancaman ini telah menjadi fakta kehidupan di platform Android selama bertahun-tahun. Terlepas dari kesadaran akan masalah tersebut, sedikit yang memperhatikan kalau tekniknya sama sama seperti yang digunakan malware “penipuan pulsa”. Masukkan Microsoft, yang telah menerbitkan penyelaman mendalam teknis tentang masalah ini.

Mekanisme penagihan yang disalahgunakan dalam jenis penipuan ini adalah WAP, kependekan dari protokol aplikasi nirkabel, yang menyediakan sarana untuk mengakses informasi melalui jaringan seluler. Pengguna ponsel dapat berlangganan layanan tersebut dengan mengunjungi halaman web penyedia layanan saat perangkat mereka terhubung ke layanan seluler, lalu mengklik tombol. Dalam beberapa kasus, operator akan merespons dengan mengirim SMS kata sandi satu kali (OTP) ke telepon dan meminta pengguna untuk mengirimkannya kembali untuk memverifikasi permintaan berlangganan. Prosesnya terlihat seperti ini:

Wireless Application Protocol

Tujuan dari aplikasi jahat adalah untuk berlangganan telepon yang terinfeksi ke layanan WAP ini secara otomatis, tanpa pemberitahuan atau persetujuan dari pemiliknya. Pengembang malware memiliki berbagai cara untuk memaksa ponsel menggunakan koneksi seluler meskipun terhubung ke Wi-Fi. Pada perangkat yang menjalankan Android 9 atau versi lebih lama, developer dapat memanggil metode setWifiEnabled dari kelas WifiManager. Untuk versi 10 dan di atasnya, pengembang dapat menggunakan fungsi requestNetwork dari kelas ConnectivityManager. Akhirnya, ponsel akan memuat data secara eksklusif melalui jaringan seluler, seperti yang ditunjukkan pada gambar ini:

Tampilan Mobile Data dan Wifi

Setelah telepon menggunakan jaringan seluler untuk transmisi data, aplikasi jahat diam-diam membuka browser di latar belakang, menavigasi ke halaman berlangganan WAP, dan mengklik tombol berlangganan. Mengonfirmasi langganan bisa jadi rumit karena permintaan konfirmasi dapat datang melalui protokol SMS, HTTP, atau USSD. Microsoft menjabarkan metode khusus yang dapat digunakan pengembang malware untuk melewati setiap jenis konfirmasi. Posting Microsoft kemudian menjelaskan bagaimana malware menekan pesan berkala yang mungkin dikirimkan oleh layanan berlangganan kepada pengguna untuk mengingatkan mereka tentang langganan mereka.

“Dengan berlangganan layanan premium kepada pengguna, malware ini dapat menyebabkan korban menerima tagihan tagihan seluler yang signifikan,” tulis peneliti Microsoft. “Perangkat yang terpengaruh juga memiliki peningkatan risiko karena ancaman ini berhasil menghindari deteksi dan dapat mencapai jumlah penginstalan yang tinggi sebelum satu varian akan dihapus.”

Google secara aktif melarang aplikasi dari pasar Play-nya saat mendeteksi tanda-tanda penipuan atau kejahatan, atau saat menerima laporan aplikasi berbahaya dari pihak ketiga. Meskipun Google sering kali tidak menghapus aplikasi berbahaya sampai mereka menginfeksi jutaan pengguna, aplikasi yang diunduh dari Play umumnya dianggap lebih tepercaya daripada aplikasi dari pasar pihak ketiga.

Sumber: ArsTechnica

Amazon memperbaiki kerentanan tingkat tinggi di aplikasi Foto Android

by

Amazon telah mengkonfirmasi dan memperbaiki kerentanan di aplikasi Foto untuk Android, yang telah diunduh lebih dari 50 juta kali di Google Play Store.

Amazon Photos adalah aplikasi penyimpanan gambar dan video yang memungkinkan pengguna berbagi foto mereka dengan lancar hingga lima anggota keluarga, menawarkan fitur manajemen dan organisasi yang kuat.

Foto Amazon di Play Store

Cacatnya, ditemukan oleh para peneliti di Checkmarx, terletak pada kesalahan konfigurasi komponen aplikasi, yang mengakibatkan file manifesnya dapat diakses secara eksternal tanpa autentikasi.

Mengeksploitasi bug ini dapat mengaktifkan aplikasi berbahaya yang diinstal pada perangkat yang sama untuk mengambil token akses Amazon yang digunakan untuk otentikasi API Amazon.

API ini mungkin berisi informasi pribadi yang sensitif seperti nama lengkap, email, dan alamat fisik, sementara yang lain seperti Amazon Drive API menyimpan file pengguna.

Komponen yang rentan adalah “com.amazon.gallery.thor.app.activity.ThorViewActivity”, yang, saat diluncurkan, memicu permintaan HTTP yang berisi header dengan token pengguna.

Komponen aktivitas rentan (Checkmarx)

Peneliti Checkmarx menemukan bahwa aplikasi eksternal dapat dengan mudah meluncurkan aktivitas yang rentan dan memicu permintaan sesuka hati, mengirimkan token ke server yang dikendalikan aktor.

Permintaan yang berisi token Amazon yang diterima di titik akhir berbahaya (Checkmarx)

Analis mengeksplorasi berbagai skenario eksploitasi dengan token yang diperoleh, seperti melakukan tindakan file pada penyimpanan cloud Amazon Drive korban, menghapus riwayat sehingga data yang dihapus tidak dapat dipulihkan, dan banyak lagi.

Token yang sama mungkin digunakan oleh API Amazon lainnya, seperti Prime Video, Alexa, Kindle, dll., sehingga potensi eksploitasi bisa meluas.

Checkmarx melaporkan masalah tersebut ke Amazon pada 7 November 2021, dan raksasa internet itu mengkonfirmasi penerimaan pada hari berikutnya, mengklasifikasikannya sebagai kerentanan tingkat tinggi.

Pada 18 Desember 2021, Amazon memberi tahu Checkmarx bahwa mereka telah menyelesaikan masalah melalui pembaruan keamanan yang diterapkan ke produksi. Namun, pengguna aplikasi tidak pernah diberitahu tentang potensi paparan.

Kami telah menghubungi Amazon untuk menanyakan apakah mereka melihat tanda-tanda eksploitasi kerentanan dan apakah ada laporan akses API Amazon yang tidak sah selama periode itu, dan juru bicara telah memberi kami komentar berikut:

Kami merilis perbaikan untuk masalah ini segera setelah mendapat perhatian kami. Kami tidak memiliki bukti bahwa informasi sensitif pelanggan terungkap sebagai akibat dari masalah ini.

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Pembaruan Android Juni 2022 membawa perbaikan untuk kerentanan RCE yang kritis

by

Google telah merilis pembaruan keamanan Juni 2022 untuk perangkat Android yang menjalankan OS versi 10, 11, dan 12, memperbaiki 41 kerentanan, lima dinilai kritis.

Pembaruan keamanan dipisahkan menjadi dua tingkat, dirilis pada 1 Juni dan 5 Juni. Yang pertama berisi tambalan untuk sistem Android dan komponen kerangka kerja dan yang kedua mencakup pembaruan untuk kernel dan komponen sumber tertutup vendor pihak ketiga.

Dari lima kerentanan kritis yang ditangani bulan ini, salah satu yang menonjol adalah CVE-2022-20210, kelemahan eksekusi kode jarak jauh yang dapat dimanfaatkan oleh pelaku ancaman tanpa prasyarat yang sangat menuntut.

Cacat eksekusi kode jarak jauh sangat parah karena dapat menyebabkan pengungkapan informasi, kompromi sistem tingkat tinggi, dan pengambilalihan perangkat secara menyeluruh.

Dua perbaikan penting lainnya yang mendarat dengan tingkat tambalan pertama menyangkut CVE-2022-20140 dan CVE-2022-20145, keduanya eskalasi tingkat keparahan kritis dari kelemahan hak istimewa.

Jenis kerentanan ini biasanya dimanfaatkan oleh malware yang telah menyelinap ke perangkat melalui jalur dengan hak istimewa rendah seperti menginstal aplikasi yang tampaknya tidak berbahaya untuk meningkatkan eksekusi atau otorisasi akses seperti yang diperlukan untuk maksud jahat.

Cacat kritis keempat yang diatasi melalui level patch “1 Juni 2022” adalah CVE-2022-20130, yang terletak pada komponen Media Codec.

Perbaikan cacat kritis kelima hanya menyangkut chip Unisoc, jadi itu hanya tersedia melalui level patch “5 Juni 2022”.

Dilacak sebagai CVE-2022-20210, kerentanan ini diungkapkan awal bulan ini oleh para peneliti di Check Point, yang menemukan bahwa mungkin untuk menetralkan komunikasi radio perangkat dengan menggunakan paket yang cacat.

Unisoc menyumbang sekitar 11% dari pasar Android, sebagian besar ditemukan di perangkat yang terjangkau atau kasar yang digunakan di militer, dll.

Menerapkan pembaruan yang tersedia segera setelah tersedia untuk perangkat Anda sangat penting, meskipun tidak ada kerentanan di atas yang saat ini ditandai sebagai dieksploitasi secara aktif.

Perlu dicatat bahwa bulan ini, Samsung mengalahkan Google satu hari, meluncurkan patch Juni yang berisi semua perbaikan yang disebutkan di atas sejak kemarin.

Jika perangkat Anda tidak lagi didukung oleh vendor dan telah berhenti menerima pembaruan keamanan, sebaiknya gunakan distribusi Android pihak ketiga yang menyertakan patch terbaru dan fitur keamanan untuk model lama.

Sumber: Bleeping Computer

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer