FaceStealer

Google telah mengambil langkah-langkah untuk menghentikan lusinan aplikasi penipuan dari Play Store resmi yang terlihat menyebarkan keluarga malware Joker, Facestealer, dan Coper melalui pasar virtual.

Temuan terbaru dari Zscaler ThreatLabz dan Pradeo tidak berbeda. “Joker adalah salah satu keluarga malware paling menonjol yang menargetkan perangkat Android,” kata peneliti Viral Gandhi dan Himanshu Sharma dalam sebuah laporan Senin.

Dikategorikan sebagai fleeceware, Joker (alias Roti) dirancang untuk membuat pengguna berlangganan layanan berbayar yang tidak diinginkan atau melakukan panggilan ke nomor premium, sambil juga mengumpulkan pesan SMS, daftar kontak, dan informasi perangkat. Ini pertama kali diamati di Play Store pada tahun 2017.

Sebanyak 53 aplikasi pengunduh Joker telah diidentifikasi oleh dua perusahaan keamanan siber, dengan aplikasi diunduh secara kumulatif lebih dari 330.000 kali. Aplikasi ini biasanya menyamar sebagai SMS, editor foto, monitor tekanan darah, keyboard emoji, dan aplikasi terjemahan yang, pada gilirannya, meminta izin yang lebih tinggi untuk perangkat untuk menjalankan operasinya.

Bukan hanya Joker, peneliti keamanan Maxime Ingrao pekan lalu mengungkapkan delapan aplikasi yang berisi varian berbeda dari malware bernama Autolycos yang mengumpulkan total lebih dari tiga juta unduhan sebelum dihapus dari app store setelah lebih dari enam bulan.

Selain itu, ditemukan juga di pasar resmi aplikasi yang menyematkan malware Facestealer dan Coper. Sementara yang pertama memungkinkan operator untuk menyedot kredensial Facebook dan token autentikasi, Coper turunan dari malware Exobot berfungsi sebagai trojan perbankan yang dapat mencuri berbagai macam data.

Coper “mampu mencegat dan mengirim pesan teks SMS, membuat permintaan USSD (Unstructured Supplementary Service Data) untuk mengirim pesan, keylogging, mengunci / membuka kunci layar perangkat, melakukan serangan berlebihan, mencegah pencopotan pemasangan dan umumnya memungkinkan penyerang untuk mengambil kendali dan menjalankan perintah pada perangkat yang terinfeksi melalui koneksi jarak jauh dengan server C2,” kata para peneliti.

Malware, seperti trojan perbankan lainnya, juga diketahui menyalahgunakan izin aksesibilitas di Android untuk mendapatkan kendali penuh atas ponsel korban. Daftar aplikasi penetes Facestealer dan Coper adalah sebagai berikut :

Vanilla Camera (cam.vanilla.snapp)
Unicc QR Scanner (com.qrdscannerratedx)

Selain aturan praktis yang biasa digunakan untuk mengunduh aplikasi dari toko aplikasi, pengguna disarankan untuk tidak memberikan izin yang tidak perlu ke aplikasi dan memverifikasi keabsahannya dengan memeriksa informasi pengembang, membaca ulasan, dan memeriksa kebijakan privasi mereka.

Sumber: The Hacker News

Aplikasi Android berbahaya yang mencuri kredensial Facebook telah diinstal lebih dari 100.000 kali melalui Google Play Store, dengan aplikasi masih tersedia untuk diunduh.

Malware Android menyamar sebagai aplikasi pembuat kartun yang disebut ‘Craftsart Cartoon Photo Tools,’ yang memungkinkan pengguna mengunggah gambar dan mengubahnya menjadi rendering kartun.

Selama seminggu terakhir, peneliti keamanan dan firma keamanan seluler Pradeo menemukan bahwa aplikasi Android menyertakan trojan bernama ‘FaceStealer,’ yang menampilkan layar masuk Facebook yang mengharuskan pengguna untuk masuk sebelum menggunakan aplikasi.

Aplikasi yang meminta pengguna untuk login di Facebook (Pradeo)

Menurut peneliti keamanan Jamf Michal Rajčan, ketika pengguna memasukkan kredensial mereka, aplikasi akan mengirim mereka ke server perintah dan kontrol di zutuu[.]info [VirusTotal], yang kemudian dapat dikumpulkan oleh penyerang.

Selain server C2, aplikasi Android berbahaya akan terhubung ke www.dozenorms[.]club URL [VirusTotal] tempat data lebih lanjut dikirim, dan yang telah digunakan di masa lalu untuk mempromosikan aplikasi Android FaceStealer berbahaya lainnya.

Mengirim data ke lusinorms[.]server klub
Sumber: BleepingComputer

Pembuat dan distributor aplikasi ini tampaknya telah mengotomatiskan proses pengemasan ulang dan menyuntikkan sepotong kecil kode berbahaya ke dalam aplikasi yang sebenarnya sah.

Ini membantu aplikasi melewati prosedur pemeriksaan Play Store tanpa menimbulkan tanda bahaya. Segera setelah pengguna membukanya, mereka tidak diberikan fungsionalitas yang sebenarnya kecuali mereka masuk ke akun Facebook mereka.

Namun, begitu mereka masuk, aplikasi akan menyediakan fungsionalitas terbatas dengan mengunggah gambar tertentu ke editor online, http://color.photofuneditor.com/, yang akan menerapkan filter grafis ke gambar.

Aplikasi ini melakukan perubahan gambar dan menerapkan filter pada server jarak jauh, bukan secara lokal pada perangkat, sehingga data Anda diunggah ke lokasi yang jauh dan berisiko disimpan tanpa batas waktu, dibagikan dengan orang lain, dijual kembali, dll.

Karena aplikasi tertentu masih ada di Play Store, orang dapat secara otomatis berasumsi bahwa aplikasi Android dapat dipercaya. Namun sayangnya, aplikasi Android berbahaya terkadang menyelinap ke Google Play Store dan tetap ada hingga terdeteksi dari ulasan buruk atau ditemukan oleh perusahaan keamanan.

Namun, ada kemungkinan untuk menemukan aplikasi scam dan berbahaya dalam banyak kasus dengan melihat ulasan mereka di Google Play.

Seperti yang Anda lihat di bawah, ulasan pengguna untuk ‘Craftsart Cartoon Photo Tools’ sangat negatif, dengan total skor hanya 1,7 bintang dari kemungkinan lima. Selain itu, banyak dari ulasan ini memperingatkan bahwa aplikasi memiliki fungsionalitas terbatas dan mengharuskan Anda untuk masuk ke Facebook terlebih dahulu.

Kedua, nama pengembangnya adalah ‘Google Commerce Ltd’, yang menunjukkan bahwa itu dikembangkan oleh Google. Juga, rincian kontak yang terdaftar termasuk alamat email Gmail orang acak, yang merupakan bendera merah besar.

Ini mungkin tampak seperti pengawasan yang berlebihan untuk setiap aplikasi yang Anda instal di ponsel cerdas Anda, tetapi ini harus menjadi prosedur pemeriksaan standar untuk aplikasi yang secara inheren berisiko.

Pembaruan 22/05 – Juru bicara Google telah memberi tahu Bleeping Computer bahwa aplikasi berbahaya telah dihapus dari Play Store sekarang.

Sumber : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Beberapa Aplikasi Play Store Baru Terlihat Mendistribusikan Malware Joker, Facestealer, dan Malware Coper

Malware pencuri kata sandi Android menginfeksi 100.000 pengguna Google Play

FaceStealer

Cookies Settings