Google Play

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

June 1, 2023 by Eevee

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

November 30, 2022 by Coffee Bean

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

January 31, 2022 by Eevee

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

Login Google Play Memungkinkan Pelacakan Lokasi Terselubung

September 6, 2021 by Winnie the Pooh

Cacat desain yang melibatkan Google Timeline dapat memungkinkan seseorang melacak perangkat lain tanpa menginstal aplikasi stalkerware.

Seorang peneliti menemukan bahwa seseorang dapat melacak lokasi pengguna seseorang melalui proses masuk Google Play – jalan penguntit potensial yang, sejauh ini, belum ditangani oleh raksasa internet, Google.

“Dengan bantuan Google, saya dapat ‘memata-matai’ keberadaan istri saya tanpa harus menginstal apa pun di ponselnya,” kata peneliti Malwarebytes Labs Pieter Arntz, dalam posting hari Rabu. “Dalam pembelaan saya, seluruh episode ini terjadi pada sistem operasi yang saya jauh dari ahli (Android), dan saya berusaha membantu. Tapi apa yang terjadi di luar dugaan.”

Singkatnya: Arntz masuk ke akun Google Play-nya dari ponsel istrinya, untuk membayar aplikasi yang ingin dia instal. Kemudian dia menyerahkan telepon kembali padanya, lupa untuk log out. Dan saat itulah keanehan dimulai.

Saat melihat timeline, dia mulai memperhatikan bahwa Google menandainya di tempat-tempat yang belum dia kunjungi hari itu. Setelah bertanya-tanya apakah itu kesalahan, satu pembaruan muncul dengan menunjukkan lokasi yang dia tahu pernah dikunjungi istrinya.

“Tiba-tiba, saya sadar: saya sebenarnya menerima pembaruan lokasi dari ponsel istri saya, dan juga ponsel saya,” katanya.

Berpikir bahwa keluar dari Google Play di ponsel istrinya akan menyelesaikan masalah, Arntz terkejut melihat bahwa Google secara otomatis menambahkan akunnya ke ponsel istrinya.

“Ini benar-benar metode yang mudah untuk memata-matai keberadaan seseorang,” singkat Arntz. “Plus, Anda tidak perlu menginstal apa pun dan hanya ada sedikit kemungkinan untuk ditemukan.”

Satu lagi kekhawatiran potensial, peneliti menambahkan, dan itu tidak menyenangkan:

“Sementara posting ini berbicara tentang informasi lokasi Google Maps, saya cukup yakin akan ada aplikasi lain yang ditautkan ke akun Anda daripada ke ponsel Anda,” katanya. “Aplikasi tersebut dapat dimintai informasi oleh orang lain selain pemilik ponsel jika mereka masuk ke Google Play.”

Selengkapnya: Threat Post

Banking Trojan Cerberus Disebar Melalui Google Play

July 8, 2020 by Winnie the Pooh

Aplikasi Android berbahaya telah ditemukan di toko aplikasi Google Play yang mendistribusikan trojan perbankan, Cerberus. Aplikasi ini telah memiliki 10.000 unduhan.

Peneliti keamanan mengatakan bahwa trojan ini disebar melalui aplikasi konverter mata uang Spanyol bernama “Calculadora de Moneda”, yang telah tersedia untuk pengguna Android di Spanyol sejak Maret. Setelah dieksekusi, malware memiliki kemampuan untuk mencuri kredensial rekening bank korban dan memotong langkah-langkah keamanan, termasuk otentikasi dua faktor (2FA).

Ondrej David, Peneliti keamanan Avast, mengatakan dalam analisis nya “Yang tidak umum adalah trojan perbankan berhasil menyelinap ke Google Play Store.”

Pada beberapa minggu pertama saat tersedia di Google Play, Aplikasi ini bertindak secara normal sebagai konverter yang sah dan tidak mencuri data apa pun atau menyebabkan kerusakan apa pun. Pada pertengahan Juni, versi yang lebih baru dari konverter mata uang dirilis termasuk apa yang oleh peneliti keamanan disebut sebagai “kode dropper,” tetapi masih belum diaktifkan. Kemudian, pada 1 Juli, aplikasi melakukan tahap kedua di mana ia menjadi dropper.

Cerberus memiliki berbagai macam fungsi mata-mata dan pencurian kredensial. Trojan ini dapat duduk di atas aplikasi perbankan yang ada dan menunggu pengguna untuk login ke rekening bank mereka. Kemudian, trojan membuat lapisan baru di layar login korban, dan mencuri kredensial perbankan mereka. Selain itu, trojan memiliki kemampuan untuk mengakses pesan teks korban, artinya trojan dapat melihat kode otentikasi dua faktor (2FA) yang dikirim melalui pesan.

Para peneliti mengatakan bahwa server C2 dan muatan yang terkait dengan kampanye itu aktif hingga Senin pekan ini. Kemudian, pada Senin malam, server C2 menghilang dan konverter mata uang di Google Play tidak lagi berisi malware trojan.

David mengatakan bahwa pengguna Android dapat melindungi diri mereka sendiri dengan memperhatikan izin yang diminta aplikasi dan memeriksa peringkat pengguna suatu aplikasi. “Jika Anda merasa bahwa aplikasi tersebut meminta lebih dari yang dijanjikan, tandai ini sebagai red flags,” katanya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Threat Post

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Google Play

Cookies Settings