Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Android

Android

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

by

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police

GrapheneOS menghadirkan aplikasi PDF dan fotografi yang aman ke Google Play Store

by

Seperti yang pertama kali diketahui oleh XDA, GrapheneOS merilis aplikasi bernama Secure Camera dan Secure PDF, dan ya, semuanya tentang privasi.

Secure Camera berfungsi baik dengan ponsel seperti Google Pixel dan dapat menangani berbagai tugas umum di luar fotografi seperti memindai kode QR dan kode reguler barcode. Secure Camera hanya meminta akses kamera dan mengambil langkah-langkah dengan penyimpanan dan perekaman suara yang tidak memerlukan izin lain. Ini akan meminta izin lokasi jika penandaan geografis sudah diaktifkan dan secara otomatis menghapus metadata EXIF dari foto Anda. Adapun Secure PDF, ini mengikuti dari segi keamanan dan tidak memerlukan izin khusus untuk melakukan tugasnya.

Karena mereka adalah sumber terbuka, Anda dapat melihat kode untuk Secure Camera dan Secure PDF di Github. Keduanya sudah tersedia di Google Play Store sekarang.

Sumber: Android Police

Trojan perbankan TeaBot yang berbahaya menargetkan ratusan aplikasi keuangan

by

Pakar keamanan siber dengan Cleafy baru-baru ini menerbitkan laporan baru tentang TeaBot yang seharusnya membuat pengguna Android waspada.

Tim menemukan bahwa ada lompatan besar dalam jumlah target TeaBot — setidaknya 400 aplikasi yang digunakan untuk perbankan, transaksi cryptocurrency, dan asuransi digital — dan malware tersebut mulai menargetkan korban di Rusia, Hong Kong, dan Amerika Serikat.

TeaBot beroperasi menggunakan “penipuan pada perangkat,” memanipulasi layanan aksesibilitas dan kemampuan streaming langsung perangkat yang terinfeksi dengan cara yang memungkinkan penyerang untuk berinteraksi dari jarak jauh dengan ponsel dan memantaunya melalui pencatatan kunci.

Salah satu inkarnasi terbarunya yang diketahui muncul melalui aplikasi kode QR di Play Store, berfungsi sebagai penetes seperti pil racun untuk malware.

Setelah diunduh, aplikasi mengeluarkan popup yang meminta Anda menginstal add-on. Meskipun itu bukan tanda bahaya, aplikasi yang tidak bersalah biasanya menginstal perangkat lunak semacam itu melalui Google Play Store, sementara yang ini mencoba menipu Anda untuk melakukan sideload.

Pengalihan seperti itu dapat menandakan kemungkinan adanya dropper trojan, dan di sini add-on berisi TeaBot.

Setelah masuk, malware mulai bekerja, mengakses izin untuk layanan aksesibilitas ponsel Anda, yang memungkinkannya menguasai layar Anda.

Kemudian dapat merekam hal-hal fatal seperti login, SMS, dan kode otentikasi dua faktor.

Jika Anda telah menginstal aplikasi ini, yang terdaftar sebagai produk “QR Barcode Scanner Bussiness [sic] LLC,” segera hapus untuk menghindari orang asing membeli siapa-tahu-apa dengan uang receh Anda (dan jujur, mungkin berpikir tentang pabrik penuh menghapus).

Selengkapnya: Android Police

Malware TeaBot menyelinap kembali ke Google Play Store untuk menargetkan pengguna AS

by

Trojan perbankan TeaBot terlihat sekali lagi di Google Play Store di mana ia menyamar sebagai aplikasi kode QR dan menyebar ke lebih dari 10.000 perangkat.

Ini adalah trik yang digunakan distributor sebelumnya, pada bulan Januari, dan meskipun Google menghapus entri ini, tampaknya malware masih dapat menemukan jalan ke repositori aplikasi Android resmi.

Menurut laporan dari Cleafy, sebuah perusahaan manajemen dan pencegahan penipuan online, aplikasi ini bertindak sebagai dropper. Mereka dikirimkan tanpa kode berbahaya dan meminta izin minimal, yang menyulitkan pengulas Google untuk menemukan sesuatu yang mencurigakan.

Selain itu, aplikasi ini menyertakan fungsionalitas yang dijanjikan, sehingga ulasan pengguna di Play Store bersifat positif.

Dalam versi yang beredar di Play Store pada Januari 2021, dianalisis oleh Bitdefender, TeaBot tidak akan muncul jika mendeteksi lokasi korban di Amerika Serikat.

Sekarang, TeaBot secara aktif menargetkan pengguna di AS dan juga menambahkan bahasa Rusia, Slovakia, dan Cina, yang menunjukkan bahwa malware mengincar kumpulan korban global.

Untuk meminimalkan kemungkinan infeksi dari trojan perbankan bahkan saat menggunakan Play Store sebagai sumber aplikasi eksklusif Anda, pertahankan jumlah aplikasi yang diinstal pada perangkat Anda seminimal mungkin.

Juga, setiap kali Anda menginstal aplikasi baru di perangkat Anda, pantau konsumsi baterai dan volume lalu lintas jaringannya selama beberapa hari pertama untuk menemukan pola yang mencurigakan.

Selengkapnya: Bleeping Computer

Aplikasi Android gratis memungkinkan pengguna mendeteksi pelacakan Apple AirTag

by

Peneliti di Universitas Darmstadt di Jerman menerbitkan sebuah laporan yang menggambarkan bagaimana aplikasi AirGuard mereka untuk Android memberikan perlindungan yang lebih baik dari pengintaian AirTag yang tersembunyi daripada aplikasi lain.

Apple AirTag adalah pencari perangkat berbasis Bluetooth yang dirilis pada April 2021 yang memungkinkan pemilik melacak perangkat menggunakan layanan ‘Temukan Saya’ Apple.

Sayangnya, AirTag memiliki potensi penyalahgunaan yang besar karena ukurannya yang kecil karena orang dapat memasukkannya ke dalam jaket, koper, atau bahkan mobil orang untuk melacaknya tanpa izin.

Fitur-fitur ini bergantung pada pengidentifikasian pola penyalahgunaan, seperti memiliki AirTag di dekatnya yang dimiliki oleh akun Apple yang berbeda dan memberikan peringatan di iPhone korban.

Dalam kasus pengguna Android, masalahnya diperbesar karena Apple membiarkan mereka tanpa cara resmi untuk menemukan AirTags hingga Desember 2021, ketika merilis Tracker Detect di Play Store.

Tracker Detect, bagaimanapun, tidak ada artinya dibandingkan dengan rekan iOS-nya, karena hanya akan memberi tahu korban bahwa mereka dilacak jika diperintahkan untuk melakukan pemindaian manual, dan bahkan kemudian, sering kali melewatkan AirTags terdekat tanpa alasan yang jelas.

Para peneliti universitas memutuskan untuk melakukan sesuatu tentang masalah privasi Apple AirTag di dunia Android dan merekayasa balik deteksi pelacakan iOS untuk memahami cara kerja bagian dalamnya dengan lebih baik.

Mereka kemudian merancang aplikasi AirGuard, solusi anti-pelacakan deteksi otomatis dan pasif yang bekerja melawan semua aksesori Temukan Saya dan perangkat pelacak lainnya.

AirGuard menyajikan peringatan kepada pengguna yang dilacak (Arxiv.org)

Aplikasi ini dirilis pada Agustus 2021, dan sejak itu, telah mengumpulkan basis pengguna 120.000 orang. Itu dapat mendeteksi semua perangkat Temukan Saya, termasuk yang dibuat sendiri seperti AirTags yang dikloning atau dimodifikasi, sebagai alat pelacak paling tersembunyi.

Para peneliti sekarang telah mempublikasikan hasil tes dunia nyata mereka yang diambil dari eksperimen mereka dan diambil dari data komunitas dari mereka yang menggunakan aplikasi.

Perbandingan waktu penayangan lansiran (Arxiv.org)

Selain melayani peringatan pelacakan lebih cepat, AirGuard juga dapat mendeteksi pelacak yang ditempatkan di mobil, yang merupakan solusi paling sulit untuk digali, dan opsi penempatan pelacak terbaik untuk pelaku kejahatan.

Aplikasi AirGuard adalah perangkat lunak sumber terbuka yang tersedia secara gratis melalui Google Play Store, sehingga kodenya terbuka untuk diteliti, dan kemungkinan aplikasi tersebut dicampur dengan malware sangat kecil.

Namun, Anda harus mencatat bahwa aplikasi ini meminta beberapa izin berisiko untuk berfungsi pada ponsel cerdas Anda, yang merupakan bagian integral dari penyediaan layanan yang dijanjikan.

Sumber : Bleeping Computer

Hp Android kamu bisa jadi ada stalkerware, ini cara menghilangkannya

by

kerentanan keamanan di salah satu operasi spyware tingkat konsumen terbesar saat ini membahayakan data telepon pribadi sekitar 400.000 orang, jumlah yang terus bertambah setiap hari. Operasi, yang diidentifikasi oleh TechCrunch, dijalankan oleh sekelompok kecil pengembang di Vietnam tetapi belum memperbaiki masalah keamanan.

Aplikasi spyware tingkat konsumen sering dijual dengan kedok perangkat lunak pelacakan anak tetapi juga dikenal sebagai “penguntit” karena kemampuannya untuk melacak dan memantau pasangan atau pasangan tanpa persetujuan mereka. Aplikasi ini diunduh dari luar toko aplikasi Google Play, ditanam di ponsel tanpa izin dan dirancang untuk menghilang dari layar beranda untuk menghindari deteksi. Anda mungkin melihat ponsel Anda bertindak tidak biasa, atau berjalan lebih hangat atau lebih lambat dari biasanya, bahkan saat Anda tidak menggunakannya secara aktif.

Karena armada aplikasi penguntit ini mengandalkan penyalahgunaan fitur bawaan Android yang lebih umum digunakan oleh pemberi kerja untuk mengelola telepon kantor karyawan mereka dari jarak jauh, pemeriksaan untuk melihat apakah perangkat Android Anda disusupi dapat dilakukan dengan cepat dan mudah.

Panduan dibawah ini hanya akan menghapus aplikasi spyware, tidak menghapus data yang telah dikumpulkan dan diunggah ke servernya. Selain itu, beberapa versi Android mungkin memiliki opsi menu yang sedikit berbeda.

Periksa setelan Google Play Protect Anda

Google Play Protect adalah salah satu perlindungan terbaik untuk melindungi dari aplikasi Android berbahaya, baik pihak ketiga maupun di app store. Tetapi ketika dimatikan, perlindungan tersebut berhenti, dan stalkerware atau malware dapat diinstal pada perangkat di luar Google Play.

Periksa apakah layanan aksesibilitas telah dirusak
Jika Anda tidak mengenali layanan yang diunduh di opsi Aksesibilitas, Anda mungkin ingin menghapusnya. Banyak aplikasi penguntit disamarkan sebagai aplikasi biasa yang disebut “Aksesibilitas” atau “Kesehatan Perangkat”.

Spyware Android sering menyalahgunakan fitur aksesibilitas bawaan. Kredit Gambar: TechCrunch

Periksa apakah aplikasi admin perangkat telah diinstal
Opsi admin perangkat memiliki akses yang serupa tetapi bahkan lebih luas ke Android sebagai fitur aksesibilitas. Opsi admin perangkat ini dirancang untuk digunakan oleh perusahaan untuk mengelola ponsel karyawan dari jarak jauh, menonaktifkan fitur, dan menghapus data untuk mencegah kehilangan data. Tetapi mereka juga mengizinkan aplikasi penguntit untuk merekam layar dan mengintai pemilik perangkat.

Item yang tidak dikenal di pengaturan aplikasi admin perangkat Anda adalah indikator umum dari penyusupan telepon. Kredit Gambar: TechCrunch

Periksa aplikasi yang akan dicopot pemasangannya
Buka pengaturan Android Anda, lalu lihat aplikasi Anda. Cari aplikasi yang tidak berbahaya seperti “Device Health” atau “System Service”, dengan ikon yang tampak umum. Aplikasi ini akan memiliki akses luas ke kalender, log panggilan, kamera, kontak, dan lokasi Anda.

Aplikasi spyware sering kali memiliki ikon yang tampak umum. Kredit Gambar: TechCrunch

Jika Anda melihat aplikasi di sini yang tidak Anda kenali atau belum Anda instal, Anda dapat menekan Uninstall. Perhatikan bahwa ini kemungkinan akan mengingatkan orang yang menanam stalkerware bahwa aplikasi tersebut tidak lagi diinstal.

Amankan ponsel Anda
Jika stalkerware ditanam di ponsel Anda, ada kemungkinan besar ponsel Anda tidak terkunci, tidak terlindungi, atau kunci layar Anda dapat ditebak atau dipelajari. Kata sandi layar kunci yang lebih kuat dapat membantu melindungi ponsel Anda dari calon penguntit. Anda juga harus melindungi email dan akun online lainnya menggunakan otentikasi dua faktor jika memungkinkan.

Sumber : TechCrunch

Malware Android Xenomorph baru menargetkan pelanggan dari 56 bank

by

Malware baru bernama Xenomorph yang didistribusikan melalui Google Play Store telah menginfeksi lebih dari 50.000 perangkat Android untuk mencuri informasi perbankan.

Xenomorph menyasar pengguna puluhan lembaga keuangan di Spanyol, Portugal, Italia, dan Belgia. ThreatFabric menganalisis Xenomorph menemukan kode yang mirip dengan trojan perbankan Alien

Kesamaan kode antara Xenomorph dan Alien (ThreatFabric)

Trojan perbankan seperti Xenomorph bertujuan untuk mencuri informasi keuangan yang sensitif, mengambil alih akun, melakukan transaksi yang tidak sah, dan operator kemudian menjual data yang dicuri kepada pembeli yang tertarik.

Malware Xenomorph memasuki Google Play Store melalui aplikasi peningkatan kinerja umum seperti “Pembersih Cepat”, yang menghitung 50.000 instalasi.

Untuk menghindari penolakan selama peninjauan aplikasi dari Play Store, Fast Cleaner mengambil muatan setelah penginstalan, sehingga aplikasi bersih pada waktu pengiriman.

Pembersih Cepat di Play Store (ThreatFabric)

Fungsionalitas Xenomorph tidak sepenuhnya berkembang pada saat ini, karena trojan sedang dalam pengembangan yang berat. Namun, itu masih merupakan ancaman yang signifikan karena dapat memenuhi tujuan mencuri informasi dan menargetkan tidak kurang dari 56 bank Eropa yang berbeda.

Misalnya, malware dapat mencegat notifikasi, mencatat SMS, dan menggunakan suntikan untuk melakukan serangan overlay, sehingga malware tersebut sudah dapat mengambil kredensial dan kata sandi satu kali yang digunakan untuk melindungi rekening perbankan.

Setelah penginstalannya, tindakan pertama yang diambil oleh aplikasi adalah mengirim kembali daftar paket yang diinstal pada perangkat yang terinfeksi untuk memuat overlay yang sesuai.

Untuk mencapai hal di atas, malware meminta pemberian izin Layanan Aksesibilitas saat penginstalan, dan kemudian menyalahgunakan hak istimewa untuk memberikan izin tambahan sesuai kebutuhan.

Aplikasi Trojan yang meminta izin Aksesibilitas (ThreatFabric)

Contoh perintah yang ada dalam kode tetapi belum diimplementasikan mengacu pada fungsi keylogging dan pengumpulan data perilaku.

Mesin Aksesibilitasnya sangat detail, dan dirancang dengan pendekatan modular. Ini berisi modul untuk setiap tindakan spesifik yang diperlukan oleh bot, dan dapat dengan mudah diperluas untuk mendukung lebih banyak fungsi. Tidak mengherankan melihat kemampuan bot sport semi-ATS ini dalam waktu dekat.

ThreatFabric menilai bahwa Xenomorph bukanlah ancaman yang kuat saat ini karena statusnya “dalam pengembangan”. Namun, pada waktunya, ia dapat mencapai potensi penuhnya, “sebanding dengan trojan Perbankan Android modern lainnya.”

Sumber :

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post