Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Malware Android Xenomorph baru menargetkan pelanggan dari 56 bank

by

Malware baru bernama Xenomorph yang didistribusikan melalui Google Play Store telah menginfeksi lebih dari 50.000 perangkat Android untuk mencuri informasi perbankan.

Xenomorph menyasar pengguna puluhan lembaga keuangan di Spanyol, Portugal, Italia, dan Belgia. ThreatFabric menganalisis Xenomorph menemukan kode yang mirip dengan trojan perbankan Alien

Kesamaan kode antara Xenomorph dan Alien (ThreatFabric)

Trojan perbankan seperti Xenomorph bertujuan untuk mencuri informasi keuangan yang sensitif, mengambil alih akun, melakukan transaksi yang tidak sah, dan operator kemudian menjual data yang dicuri kepada pembeli yang tertarik.

Malware Xenomorph memasuki Google Play Store melalui aplikasi peningkatan kinerja umum seperti “Pembersih Cepat”, yang menghitung 50.000 instalasi.

Untuk menghindari penolakan selama peninjauan aplikasi dari Play Store, Fast Cleaner mengambil muatan setelah penginstalan, sehingga aplikasi bersih pada waktu pengiriman.

Pembersih Cepat di Play Store (ThreatFabric)

Fungsionalitas Xenomorph tidak sepenuhnya berkembang pada saat ini, karena trojan sedang dalam pengembangan yang berat. Namun, itu masih merupakan ancaman yang signifikan karena dapat memenuhi tujuan mencuri informasi dan menargetkan tidak kurang dari 56 bank Eropa yang berbeda.

Misalnya, malware dapat mencegat notifikasi, mencatat SMS, dan menggunakan suntikan untuk melakukan serangan overlay, sehingga malware tersebut sudah dapat mengambil kredensial dan kata sandi satu kali yang digunakan untuk melindungi rekening perbankan.

Setelah penginstalannya, tindakan pertama yang diambil oleh aplikasi adalah mengirim kembali daftar paket yang diinstal pada perangkat yang terinfeksi untuk memuat overlay yang sesuai.

Untuk mencapai hal di atas, malware meminta pemberian izin Layanan Aksesibilitas saat penginstalan, dan kemudian menyalahgunakan hak istimewa untuk memberikan izin tambahan sesuai kebutuhan.

Aplikasi Trojan yang meminta izin Aksesibilitas (ThreatFabric)

Contoh perintah yang ada dalam kode tetapi belum diimplementasikan mengacu pada fungsi keylogging dan pengumpulan data perilaku.

Mesin Aksesibilitasnya sangat detail, dan dirancang dengan pendekatan modular. Ini berisi modul untuk setiap tindakan spesifik yang diperlukan oleh bot, dan dapat dengan mudah diperluas untuk mendukung lebih banyak fungsi. Tidak mengherankan melihat kemampuan bot sport semi-ATS ini dalam waktu dekat.

ThreatFabric menilai bahwa Xenomorph bukanlah ancaman yang kuat saat ini karena statusnya “dalam pengembangan”. Namun, pada waktunya, ia dapat mencapai potensi penuhnya, “sebanding dengan trojan Perbankan Android modern lainnya.”

Sumber :

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Google memperbaiki eskalasi bug hak istimewa jarak jauh di Android

by

Google telah merilis pembaruan keamanan Android Februari 2022, mengatasi dua kerentanan kritis, salah satunya adalah eskalasi hak istimewa jarak jauh yang tidak memerlukan interaksi pengguna.

Kerentanan dilacak sebagai CVE-2021-39675, membawa peringkat keparahan “kritis”, dan hanya memengaruhi Android 12, versi terbaru dari OS Android.

Kelemahan ini biasanya dimanfaatkan oleh vendor spyware canggih yang secara independen menemukan dan secara pribadi menggunakan zero-days dalam sistem operasi seluler. Namun, dalam kasus ini, Google belum melihat tanda-tanda eksploitasi aktif.

Cacat kritis kedua yang diatasi oleh pembaruan keamanan Februari 2022 adalah CVE-2021-30317, yang memengaruhi komponen sumber tertutup Qualcomm, dan dengan demikian hanya menyangkut perangkat Android yang menggunakan perangkat keras vendor tersebut.

Detail teknis tentang kerentanan tidak tersedia saat ini, karena pembaruan Android biasanya memerlukan beberapa bulan untuk mencapai persentase basis pengguna yang terhormat, mengingat vendor perlu menggabungkannya secara terpisah untuk setiap model perangkat.

Akhirnya, perbaikan yang datang dengan pembaruan bulan ini menyangkut Android 10, 11, dan 12, jadi jika ponsel Anda menjalankan versi yang lebih lama dari itu, Anda tidak lagi dilindungi, dan Anda harus menganggap perangkat Anda kekurangan keamanan.

Sumber: Bleeping Computer

Microsoft Defender sekarang mendeteksi kerentanan Android dan iOS

by

Microsoft mengatakan dukungan manajemen ancaman dan kerentanan untuk Android dan iOS telah mencapai ketersediaan umum di Microsoft Defender for Endpoint, platform keamanan titik akhir perusahaan perusahaan.

“Dengan cakupan lintas platform baru ini, kemampuan manajemen ancaman dan kerentanan sekarang mendukung semua platform perangkat utama di seluruh organisasi mencakup workstation, server, dan perangkat seluler,” Microsoft menjelaskan.

Manajemen kerentanan Android dan iOS memungkinkan admin mengurangi area serangan permukaan titik akhir seluler dan, sebagai akibat langsung, meningkatkan ketahanan organisasi mereka terhadap serangan yang masuk.

Kemampuan baru ini memungkinkan organisasi untuk menemukan, memprioritaskan, dan memulihkan kerentanan perangkat lunak dan sistem operasi dengan lebih mudah di perangkat Android.

Pembela untuk inventaris perangkat Endpoint (Microsoft)

Defender for Endpoint sekarang melindungi semua platform utama
Ini adalah bagian dari upaya untuk memperluas kemampuan platform keamanan di semua platform utama untuk membantu tim keamanan mempertahankan pengguna titik akhir mereka melalui solusi keamanan terpadu.

Misalnya, pada Juni 2020, Defender for Endpoint menambahkan dukungan untuk lebih banyak platform non-Windows (umumnya tersedia untuk pelanggan Linux dan dalam pratinjau publik untuk Android). Satu tahun kemudian, Redmond juga menyertakan dukungan untuk macOS sebagai bagian dari pratinjau terbatas.

Satu bulan kemudian, pada Juli 2020, solusi keamanan titik akhir diperbarui dengan fitur Skor Aman Microsoft untuk Perangkat untuk mengevaluasi status konfigurasi keamanan kolektif perangkat di jaringan perusahaan. Ini dapat meningkatkan keamanan titik akhir organisasi melalui tindakan yang direkomendasikan.

Mulai Oktober 2020, platform keamanan titik akhir perusahaan Microsoft juga memberikan laporan kepada admin yang membantu mereka melacak perangkat Windows dan macOS yang rentan, termasuk tingkat keparahan kerentanan, ketersediaan eksploitasi, usia kerentanan, dan perangkat yang rentan menurut sistem operasi.

Sumber : Bleeping Computer

Pengguna Android memperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus

by

Pengguna Android diperingatkan tentang trik yang memungkinkan Anda membaca pesan WhatsApp yang dihapus yang dapat membahayakan data ponsel.

Beberapa aplikasi berbeda dapat digunakan untuk mengambil pesan yang dihapus.

Tetapi WAMR tampaknya mengambil data yang dihapus dari WhatsApp, Facebook Messenger, dan platform lainnya. Karena enkripsi pada perangkat Android, WAMR tidak dapat mengakses pesan secara langsung.

Sebagai gantinya, aplikasi menggunakan riwayat pemberitahuan Anda untuk membaca pesan dan membuat cadangan pesan, menurut informasi dari Google App store.

Aplikasi WAMR akan mendeteksi pesan yang dihapus dan kemudian menampilkan pemberitahuan kepada Anda.

Media tambahan, termasuk gambar, video, gif animasi, audio, catatan suara, dokumen, stiker, juga dapat dipulihkan dari pesan.

Namun, aplikasi ini mencatat bahwa ini bukan cara resmi untuk memulihkan pesan yang dihapus, dan memperingatkan bahwa itu dapat menghadapi batasan berdasarkan aplikasi tempat data pesan berada, atau bahkan dari sistem operasi Android.

ketika anda menginstal aplikasi WAMR, beberapa izin harus diberikan agar dapat beroperasi di perangkat Android Anda. Izin ini dapat membahayakan data dari aplikasi lain di ponsel Anda.

Koran Keamanan Informasi melaporkan bahwa riwayat pencarian internet dan daftar kontak termasuk di antara data yang dapat diakses oleh aplikasi WAMR.

Outlet tersebut juga melaporkan bahwa terlepas dari potensi risiko keamanan, aplikasi WAMR telah diunduh lebih dari 10 juta kali.

Memilih untuk mengunduh aplikasi seperti WAMR yang dapat membahayakan data dan keamanan di ponsel Anda adalah risiko yang harus dipertimbangkan dengan cermat.

Sumber : NEW YORK POST

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

by

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer