Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for FluBot

FluBot

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Operasi malware FluBot Android dimatikan oleh penegak hukum

by

Europol telah mengumumkan penghapusan operasi FluBot, salah satu operasi malware Android terbesar dan dengan pertumbuhan tercepat yang pernah ada.

Penghapusan operasi malware dihasilkan dari operasi penegakan hukum yang melibatkan sebelas negara setelah penyelidikan teknis yang kompleks untuk menentukan infrastruktur paling kritis FluBot.

Peserta operasi tersebut adalah Australia, Belgia, Finlandia, Hungaria, Irlandia, Spanyol, Swedia, Swiss, Belanda, dan Amerika Serikat.

Seperti yang diumumkan Polisi Belanda hari ini, mereka telah memutuskan sepuluh ribu korban dari jaringan FluBot dan mencegah lebih dari 6,5 juta SMS spam menjangkau calon korban.

Pada Maret 2021, polisi di Spanyol menangkap empat tersangka yang kemudian dianggap sebagai anggota kunci dari operasi FluBot, karena malware tersebut terutama menginfeksi pengguna di wilayah tersebut.

Namun, jeda dalam distribusinya hanya sesaat, karena malware pulih ke tingkat yang belum pernah terjadi sebelumnya yang menargetkan beberapa negara lain di luar Spanyol.

Namun kali ini, Europol menggarisbawahi bahwa infrastruktur FluBot berada di bawah kendali penegak hukum, sehingga tidak dapat dinyalakan kembali.

FluBot adalah malware Android yang mencuri kredensial akun perbankan dan cryptocurrency dengan melapisi halaman phishing di atas antarmuka aplikasi yang sah ketika korban membukanya.

Selain itu, ia dapat mengakses konten SMS dan memantau notifikasi, sehingga otentikasi dua faktor dan kode OTP dapat diambil dengan cepat.

Proliferasinya yang cepat adalah berkat penyalahgunaan daftar kontak perangkat yang terinfeksi untuk mengirim SMS ke semua kontak melalui orang yang mereka percayai.

Orang yang perangkatnya disalahgunakan untuk spamming tidak akan melihat sesuatu yang aneh karena semuanya terjadi di latar belakang.

Dengan cara ini, dengan hanya mencapai beberapa infeksi, FluBot dengan cepat meningkatkan jumlah korban di tempat-tempat tertentu di seluruh dunia dan menyebar seperti api di sana.

Skema operasi utama FluBot (Europol)

Adapun metode distribusi untuk “patient-zero”, ini termasuk aplikasi yang dicampur di Google Play Store, pesan pengiriman paket palsu, pembaruan aplikasi Flash Player, dan banyak lagi.

Jika menurut Anda FluBot mungkin telah menginfeksi perangkat Anda, Europol menyarankan Anda melakukan reset pabrik yang menghapus semua data di partisi yang dapat menampung malware.

Sumber: Bleeping Computer

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Kampanye FluBot dan TeaBot baru Menargetkan Perangkat Android di Seluruh Dunia

by

Kampanye distribusi malware FluBot dan TeaBot baru telah terlihat, menggunakan umpan-umpan khas atau aplikasi yang dicampur terhadap pengguna Android di Australia, Jerman, Polandia, Spanyol, dan Rumania.

Topik SMS yang digunakan untuk menyebarkan malware FluBot termasuk pesan kurir palsu, “Apakah ini Anda dalam video ini?” membujuk, pembaruan browser palsu, dan pemberitahuan pesan suara palsu.

Setelah menginfeksi satu perangkat, malware menggunakan daftar kontak korban untuk mendistribusikan umpan SMS lainnya, mencapai tingkat infeksi yang lebih baik karena kepercayaan penerima pada kontak yang diketahui dan pertumbuhan yang berkelanjutan.

TeaBot adalah trojan perbankan Android yang berbeda yang ditemukan pada Januari 2021 dan memiliki jangkauan global.

Menurut para peneliti, TeaBot didistribusikan kepada korban yang tidak curiga melalui aplikasi trojanized di Google Play Store, termasuk:

  • Pembaca Kode QR – Aplikasi Pemindai – 100.000 unduhan
  • QR Scanner APK – 10.000 unduhan
  • Pemindaian Kode QR – 10.000 unduhan
  • Smart Cleaner – 1.000 unduhan
  • Weather Cast – 10.000 unduhan
  • Weather Daily – 10.000 unduhan

Tak satu pun dari aplikasi ini menampilkan fungsi berbahaya, dan semua menawarkan fitur yang dijanjikan, yang memungkinkan mereka untuk melewati proses peninjauan Google Play Store dan mencapai kolam infeksi yang lebih luas.

Selain itu, para aktor secara aktif mempromosikan aplikasi ini dengan membayar untuk muncul di Google Ads yang disajikan dalam aplikasi dan game lain.

Setelah diinstal dan dieksekusi pada perangkat korban, aplikasi memulai layanan latar belakang yang memeriksa kode negara dan berhenti jika hasilnya adalah Ukraina, Uzbekistan, Uruguay, atau Amerika Serikat.

Aplikasi ini mengambil konfigurasinya untuk semua korban lainnya dan mengambil APK dari repositori GitHub, yang berisi varian TeaBot. Pada saat yang sama, aplikasi meminta pengguna untuk mengizinkan sumber pihak ketiga untuk menginstal paket.


Antara 6 Desember 2021 dan 17 Januari 2022, analis Bitdefender telah menghitung 17 versi TeaBot yang berbeda yang menginfeksi perangkat melalui aplikasi yang terdaftar.

Kampanye TeaBot menggambarkan bahwa bahkan ketika menginstal perangkat lunak dari Google Play Store, itu tidak berarti bahwa Anda akan selalu aman.

Oleh karena itu, disarankan untuk tetap waspada dengan instalasi baru, memeriksa ulasan pengguna, memantau jaringan aplikasi dan penggunaan baterai, dan hanya memberikan izin yang tidak berisiko.

Ingat, ini bukan pertama kalinya TeaBot berhasil menyusup ke Play Store melalui aplikasi yang dicampur, dan tidak mungkin itu akan menjadi yang terakhir.

Sumber: Bleepingcomputer

Finlandia memperingatkan malware Flubot yang menargetkan pengguna Android

by

Pusat Keamanan Siber Nasional Finlandia (NCSC-FI) telah mengeluarkan “peringatan parah” kampanye besar-besaran yang menargetkan pengguna Android negara itu dengan malware perbankan Flubot yang didorong melalui pesan teks yang dikirim dari perangkat yang disusupi.

Kampanye spam tersebut menggunakan tema pesan suara, meminta target untuk membuka tautan yang memungkinkan mereka mengakses pesan pesan suara atau pesan dari operator seluler.

Namun, penerima SMS dialihkan ke situs berbahaya yang mendorong penginstal APK untuk menyebarkan malware perbankan Flubot di perangkat Android mereka alih-alih membuka pesan suara.

Target yang menggunakan iPhone atau perangkat lain hanya akan dialihkan ke halaman penipuan dan kemungkinan juga berbahaya lainnya seperti halaman arahan phishing yang mencoba mengelabui detail kartu kredit mereka.

“Kami berhasil menghilangkan FluBot hampir sepenuhnya dari Finlandia pada akhir musim panas berkat kerja sama antara pihak berwenang dan operator telekomunikasi. Kampanye malware yang aktif saat ini adalah yang baru, karena tindakan pengendalian yang diterapkan sebelumnya tidak efektif,” kata NCSC-FI penasihat keamanan informasi Aino-Maria Väyrynen.

Malware perbankan ini (juga dikenal sebagai Fedex Banker dan Cabassous) telah aktif sejak akhir 2020 dan digunakan untuk mencuri kredensial perbankan, informasi pembayaran, pesan teks, dan kontak dari perangkat yang terinfeksi.

Awalnya, botnet terutama menargetkan pengguna Android dari Spanyol. Namun, sekarang telah diperluas untuk menargetkan negara-negara Eropa tambahan (Jerman, Polandia, Hongaria, Inggris, Swiss) dan Australia dan Jepang dalam beberapa bulan terakhir.

Setelah menginfeksi perangkat Android, Flubot menyebar ke orang lain dengan mengirim spam pesan teks ke kontak yang dicuri dan menginstruksikan target untuk menginstal aplikasi yang mengandung malware dalam bentuk APK. Bulan lalu, Flubot juga mulai menipu korbannya agar menginfeksi diri mereka sendiri menggunakan pembaruan keamanan palsu yang memperingatkan infeksi Flubot.

Setelah digunakan pada perangkat baru, ia akan mencoba mengelabui korban agar memberikan izin tambahan dan memberikan akses ke layanan Aksesibilitas Android, yang memungkinkannya menyembunyikan dan menjalankan tugas berbahaya di latar belakang.

Kemudian mengambil alih perangkat yang terinfeksi, mendapatkan akses ke pembayaran korban dan info perbankan melalui halaman webview phishing yang dihamparkan di atas antarmuka aplikasi mobile banking dan cryptocurrency yang sah.

Flubot juga mengekstrak buku alamat ke server perintah-dan-kontrol (dengan kontak kemudian dikirim ke bot Flubot lain untuk mendorong spam), membaca pesan SMS, membuat panggilan telepon, dan memantau pemberitahuan sistem untuk aktivitas aplikasi.

Mereka yang telah menginfeksi perangkat mereka dengan malware Flubot disarankan untuk mengambil langkah-langkah berikut:

  • Lakukan reset pabrik pada perangkat. Jika Anda memulihkan pengaturan dari cadangan, pastikan Anda memulihkan dari cadangan yang dibuat sebelum malware diinstal.
  • Jika Anda menggunakan aplikasi perbankan atau menangani informasi kartu kredit pada perangkat yang terinfeksi, hubungi bank Anda.
  • Laporkan kerugian finansial apa pun kepada polisi.
  • Atur ulang kata sandi Anda pada layanan apa pun yang telah Anda gunakan dengan perangkat. Malware mungkin telah mencuri kata sandi Anda jika Anda masuk setelah menginstal malware.
  • Hubungi operator Anda, karena langganan Anda mungkin telah digunakan untuk mengirim pesan teks dengan dikenakan biaya. Malware yang saat ini aktif untuk perangkat Android menyebar dengan mengirim pesan teks dari perangkat yang terinfeksi.

Sumber : Bleeping Computer

Pengguna Android: Jangan klik pesan teks ini

by

Pesan teks adalah vektor yang semakin populer bagi para peretas dan berbagai macam solusi digital yang belum pernah digunakan untuk memisahkan korban yang tidak curiga dari data atau uang mereka. Terkadang keduanya.

Malware Android yang dikenal sebagai FluBot adalah salah satu contoh ancaman yang menyebar melalui penipuan pesan teks, berhasil menarik korban karena sejumlah alasan berbeda. Sebagian karena rata-rata orang saat ini mungkin jauh lebih kecil kemungkinannya untuk mengklik email jahat.

Tetapi pesan teks yang menyamar sebagai pembaruan “pengiriman paket yang tidak terjawab” yang tampak sah, seperti halnya cara FluBot menyebar, tampaknya jauh lebih mungkin untuk menemukan sasarannya.

Menurut perusahaan keamanan siber Proofpoint, tipe malware Android ini – salah satu dari banyak yang harus diwaspadai – tampaknya melonjak sekali lagi. Ada penurunan dalam aktivitas FluBot pada awal tahun ini, yang dikaitkan dengan penangkapan yang dilakukan di Eropa. Tapi sekarang malware FluBot menyerang lebih banyak negara di Eropa sekali lagi.

Selain itu, meskipun ini tampaknya merupakan ancaman Android, pemilik perangkat Apple mungkin tidak kebal terhadap kerusakan dari FluBot.

Begini cara kerja malware ini. Penipuan pesan teks seharusnya memberi tahu Anda bahwa Anda melewatkan pengiriman paket. Anda mengeklik tautan, dan Anda diminta untuk mengunduh aplikasi phishing. Pada aplikasi tersebut, FluBot bersembunyi di dalamnya.

Setelah mendapatkan izin yang diperlukan dari pengguna? FluBot dapat terus bertindak “sebagai spyware, spammer SMS, dan pencuri kredensial perbankan dan kartu kredit,” menurut Proofpoint.

Dengan ini pengguna disarankan untuk tidak mengklik tautan di dalam teks. Dan hapus pesannya.

Sekali lagi, jika Anda mengharapkan, katakanlah, pengiriman DHL? Cukup kunjungi situs web resmi DHL untuk melacak pengiriman Anda di sana. Jangan gunakan tautan dalam pesan teks. Kunjungi situs web DHL. Jangan. Klik. Tautan. Itu.

Selengkapnya: BGR

Malware Android pencuri sandi ini menyebar dengan cepat: Inilah yang harus diwaspadai

by

Kampanye malware dengan tujuan mencuri kata sandi, detail bank, dan informasi sensitif lainnya menyebar dengan cepat melalui perangkat Android.

Dikenal sebagai FluBot, malware ini diinstal melalui pesan teks yang mengaku dari perusahaan pengiriman yang meminta pengguna untuk mengklik link untuk melacak pengiriman paket.

Tautan phishing ini meminta pengguna untuk menginstal aplikasi untuk mengikuti pengiriman palsu – tetapi aplikasi tersebut sebenarnya adalah malware karena mencuri informasi dari smartphone Android yang terinfeksi.

Setelah terinstal, FluBot juga mendapatkan akses ke buku alamat korban, memungkinkannya untuk mengirim pesan teks yang terinfeksi ke semua kontak mereka, selanjutnya menyebarkan malware.

Pusat Keamanan Siber Nasional (NCSC) Inggris telah mengeluarkan panduan keamanan tentang cara mengidentifikasi dan menghapus malware FluBot, sementara penyedia jaringan termasuk Three dan Vodafone juga telah mengeluarkan peringatan kepada pengguna atas serangan pesan teks tersebut.

Sementara malware hanya dapat menginfeksi perangkat Android, pengguna Apple juga didesak untuk berhati-hati dengan pesan teks yang mendesak mereka untuk mengklik tautan tentang pengiriman karena situs web berbahaya masih dapat digunakan untuk mencuri informasi pribadi.

Selengkapnya: ZDNet