Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Google PlayStore

Google PlayStore

Facebook ads mempromosikan adware Android dengan 7 juta pemasangan di Google Play

by

Beberapa aplikasi adware dipromosikan secara agresif di Facebook sebagai pembersih dan pengoptimal sistem untuk perangkat Android, aplikasi tersebut terhitung sampai jutaan pemasangan di Google Play store.

Untuk menghindari penghapusan, aplikasi bersembunyi di perangkat korban dengan terus mengubah ikon dan nama, menyamar sebagai Pengaturan atau Play Store itu sendiri.

Ikon dan nama pengubah aplikasi yang diinstal (McAfee)

Aplikasi adware menyalahgunakan komponen Android Penyedia Kontak, yang memungkinkan mereka mentransfer data antara perangkat dan layanan online.

Subsistem dipanggil setiap kali aplikasi baru diinstal, sehingga adware mungkin menggunakannya untuk memulai proses penayangan iklan. Bagi pengguna, ini mungkin terlihat seperti iklan didorong oleh aplikasi sah yang mereka instal.

Para peneliti di McAfee menemukan aplikasi adware. Mereka mencatat bahwa pengguna tidak perlu meluncurkannya setelah penginstalan untuk melihat iklan karena adware memulai sendiri secara otomatis tanpa interaksi apa pun.

Tindakan pertama dari aplikasi yang mengganggu ini adalah membuat layanan permanen untuk menampilkan iklan. Jika proses “dimatikan” (dihentikan), ia segera diluncurkan kembali.

Layanan berbahaya segera diluncurkan kembali (McAfee)

Pengguna yakin untuk mempercayai aplikasi adware karena mereka melihat tautan Play Store di Facebook.

Promosi Facebook untuk aplikasi yang lebih bersih (McAfee)

Hal ini mengakibatkan jumlah unduhan yang luar biasa tinggi untuk jenis aplikasi tertentu, seperti yang ditunjukkan dalam daftar di bawah ini:

  • Junk Cleaner, cn.junk.clean.plp, 1 juta unduhan
  • EasyCleaner, com.easy.clean.ipz, 100 ribu unduhan
  • Power Doctor, com.power.doctor.mnb, 500 ribu unduhan
  • Super Clean, com.super.clean.zaz, 500 ribu unduhan
  • Full Clean -Clean Cache, org.stemp.fll.clean, 1 juta unduhan
  • Fingertip Cleaner, com.fingertip.clean.cvb, 500 ribu unduhan
  • Quick Cleaner, org.qck.cle.oyo, 1 juta unduhan
  • Keep Clean, org.clean.sys.lunch, 1 juta unduhan
  • Windy Clean, in.phone.clean.www, 500 ribu unduhan
  • Carpet Clean, og.crp.cln.zda, 100 ribu unduhan
  • Cool Clean, syn.clean.cool.zbc, 500 ribu unduhan
  • Strong Clean, in.memory.sys.clean, 500 ribu unduhan
  • Meteor Clean, org.ssl.wind.clean, 100 ribu unduhan

Sebagian besar pengguna yang terpengaruh berbasis di Korea Selatan, Jepang, dan Brasil, tetapi sayangnya adware telah menjangkau pengguna di seluruh dunia.

Aplikasi adware tidak lagi tersedia di Play Store. Namun, pengguna yang menginstalnya harus menghapusnya secara manual dari perangkat.

Pembersih dan pengoptimal sistem adalah kategori perangkat lunak yang populer meskipun manfaatnya rendah. Penjahat dunia maya tahu bahwa sejumlah besar pengguna akan mencoba solusi semacam itu untuk memperpanjang umur perangkat mereka dan sering kali menyamar sebagai aplikasi berbahaya.

Sumber: Bleeping Computer

Lebih dari 300.000 pengguna Android telah mengunduh aplikasi malware trojan perbankan ini

by

Dirinci oleh peneliti ThreatFabric, empat bentuk malware yang berbeda dikirimkan ke korban melalui versi berbahaya dari aplikasi yang biasa diunduh, termasuk pemindai dokumen, pembaca kode QR, pemantau kebugaran, dan aplikasi cryptocurrency. Aplikasi sering datang dengan fungsi yang diiklankan untuk menghindari pengguna curiga.

Dalam setiap kasus, pengiriman malware hanya dimulai setelah aplikasi diinstal sehingga memungkinkan mereka untuk melewati deteksi Play Store.

Yang paling produktif dari empat keluarga malware adalah Anatsa, yang telah diinstal oleh lebih dari 200.000 pengguna Android – peneliti menggambarkannya sebagai trojan perbankan yang dapat mencuri nama pengguna dan kata sandi, dan menggunakan pencatatan aksesibilitas untuk menangkap semua yang ditampilkan di layar pengguna , sementara keylogger memungkinkan penyerang untuk merekam semua informasi yang dimasukkan ke dalam telepon.

Salah satu aplikasi ini adalah pemindai kode QR yang telah dipasang oleh 50.000 pengguna saja dan halaman unduhan menampilkan sejumlah besar ulasan positif, sesuatu yang dapat mendorong orang untuk mengunduh aplikasi. Pengguna diarahkan ke aplikasi melalui email phishing atau kampanye iklan berbahaya.

Setelah pengunduhan awal, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakannya – pembaruan inilah yang menghubungkan ke server perintah dan kontrol dan mengunduh muatan Anatsa ke perangkat, memberikan penyerang sarana untuk mencuri detail perbankan dan informasi lainnya.

Keluarga malware paling produktif kedua yang dirinci oleh para peneliti di ThreatFabric adalah Alien, trojan perbankan Android yang juga dapat mencuri kemampuan otentikasi dua faktor dan yang telah aktif selama lebih dari setahun. Malware telah menerima 95.000 instalasi melalui aplikasi berbahaya di Play Store.

Salah satunya adalah aplikasi gym dan pelatihan kebugaran yang ketika dilengkapi dengan situs web pendukung yang dirancang untuk meningkatkan legitimasi, tetapi pemeriksaan ketat terhadap situs tersebut mengungkapkan teks placeholder di mana-mana. Situs web ini juga berfungsi sebagai pusat komando dan kendali untuk malware Alien.

Seperti Anasta, unduhan awal tidak mengandung malware, tetapi pengguna diminta untuk menginstal pembaruan palsu – menyamar sebagai paket rezim kebugaran baru – yang mendistribusikan muatan.

Dua bentuk malware lainnya yang telah dijatuhkan menggunakan metode serupa dalam beberapa bulan terakhir adalah Hydra dan Ermac, yang memiliki total gabungan setidaknya 15.000 unduhan. ThreatFabric telah menautkan Hydra dan Ermac ke Brunhilda, kelompok kriminal dunia maya yang diketahui menargetkan perangkat Android dengan malware perbankan.

ThreatFabric telah melaporkan semua aplikasi berbahaya ke Google dan mereka telah dihapus atau sedang ditinjau.

“Aturan praktis yang baik adalah selalu memeriksa pembaruan dan selalu sangat berhati-hati sebelum memberikan hak aksesibilitas layanan – yang akan diminta oleh muatan berbahaya, setelah “pembaruan” instalasi – dan waspada terhadap aplikasi yang meminta untuk menginstal perangkat lunak tambahan, ” ucap Durando.

ZDNet

Malware Android menyamar sebagai Aplikasi mirip Netflix dan menginfeksi melalui WhatsApp

by

Malware Android yang baru ditemukan di Google Play Store yang menyamar sebagai alat Netflix dirancang untuk menyebar secara otomatis ke perangkat lain menggunakan balasan otomatis WhatsApp ke pesan masuk.

Para peneliti di Check Point Research (CPR) menemukan malware baru ini menyamar sebagai aplikasi bernama FlixOnline dan mencoba memikat calon korban dengan janji akses gratis ke konten Netflix.

Peneliti CPR secara bertanggung jawab mengungkapkan temuan penelitian mereka kepada Google yang dengan cepat menghapus dan menghapus aplikasi berbahaya tersebut dari Play Store.

Aplikasi FlixOnline yang berbahaya diunduh kira-kira 500 kali selama dua bulan ketika itu tersedia untuk diunduh di Play Store.

Setelah aplikasi diinstal pada perangkat Android dari Google Play Store, malware memulai layanan yang meminta overlay, pengabaian pengoptimalan baterai, dan izin pemberitahuan.

Setelah izin diberikan, malware akan dapat menghasilkan overlay di atas jendela aplikasi apa pun untuk tujuan pencurian kredensial, memblokir perangkat agar tidak mematikan prosesnya untuk mengoptimalkan konsumsi energi, mendapatkan akses ke notifikasi aplikasi, dan mengelola atau membalas pesan.

Kemudian aplikasi tersebut mulai memantau pemberitahuan WhatsApp baru untuk membalas otomatis semua pesan masuk menggunakan muatan teks khusus yang diterima dari server perintah dan kontrol dan dibuat oleh operatornya.

Check Point mengatakan bahwa balasan otomatis yang diamati dalam kampanye ini mengarahkan para korban ke situs Netflix palsu yang mencoba mengambil informasi identitas dan kartu kredit mereka.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Aplikasi Barcode Scanner di Google Play menginfeksi 10 juta pengguna dengan satu pembaruan

by

Tim Peneliti dari Malwarebytes merilis artikel mengenai aplikasi Android Barcode Scanner yang ternyata mengandung malware.

Di dalam artikel tersebut mereka mengatakan bahwa sebelumnya beberapa pelanggan melihat iklan yang entah dari mana dibuka melalui browser default mereka. Dan anehnya, tidak seorangpun dari mereka yang baru saja memasang aplikasi baru dan aplikasi mereka hanya diunduh melalui Google Play Store.

Kemudian salah seorang pelanggan dengan username Anon00 menemukan bahwa itu berasal dari aplikasi yang sudah lama terpasang, Barcode Scanner. Sebuah aplikasi yang memiliki 10.000.000+ pemasangan di Google Play Store.

Tim dari Malwarebytes kemudian menambahkan deteksi, dan Google dengan cepat menghapus aplikasi tersebut dari tokonya.

Setelah ditelusuri, ternyata aplikasi tersebut setelah pembaruan pada bulan Desember, telah berubah dari pemindai yang tidak bersalah menjadi pemindai yang penuh dengan malware.

Sumber: Malwarebytes

Sumber: Malwarebytes

Dalam kasus Barcode Scanner, kode berbahaya telah ditambahkan yang tidak ada pada aplikasi versi sebelumnya. Selain itu, kode yang ditambahkan menggunakan obfuscation untuk menghindari deteksi.

“Sulit untuk mengetahui sudah berapa lama Barcode Scanner berada di Google Play Store sebagai aplikasi yang sah sebelum menjadi berbahaya. Berdasarkan tingginya jumlah penginstalan dan masukan pengguna, kami menduga aplikasi ini sudah ada selama bertahun-tahun”

Menghapus aplikasi dari Google Play Store tidak berarti Barcode Scanner akan dihapus dari perangkat seluler Anda. Jadi, hingga Anda secara manual menghapus aplikasi, Barcode Scanner akan terus menampilkan iklan pada perangkat Anda.

Sumber: Malwarebytes

Play Store diidentifikasi sebagai vektor distribusi utama untuk sebagian besar malware Android

by

Google Play Store resmi telah diidentifikasi sebagai sumber utama penginstalan malware di perangkat Android dalam studi akademis baru-baru ini.

Menggunakan data telemetri yang disediakan oleh NortonLifeLock (sebelumnya Symantec), para peneliti menganalisis asal penginstalan aplikasi di lebih dari 12 juta perangkat Android selama periode empat bulan antara Juni dan September 2019.

Secara total, para peneliti melihat lebih dari 34 juta penginstalan APK (aplikasi Android) untuk 7,9 juta aplikasi unik.

Peneliti mengatakan bahwa sesuai klasifikasi malware Android yang berbeda, antara 10% dan 24% aplikasi yang mereka analisis dapat dikategorikan sebagai aplikasi yang berbahaya atau tidak diinginkan.

Namun para peneliti berfokus secara khusus pada “hubungan siapa-menginstal-siapa antara installer dan aplikasi anak” untuk menemukan jalur yang diambil aplikasi berbahaya untuk menjangkau perangkat pengguna.

Hasilnya menunjukkan bahwa sekitar 67% dari pemasangan aplikasi berbahaya yang diidentifikasi peneliti berasal dari Google Play Store.

Sumber: ZDNet

Penelitian berjudul “How Did That Get In My Phone? Unwanted App Distribution on Android Devices,” tersedia untuk diunduh dalam format PDF dan ditulis oleh peneliti dari NortonLifeLock dan IMDEA Software Institute di Madrid, Spanyol.

Baca berita selengkapnya pada tautan berikut ini;
Source: ZDNet

Avast memperingatkan mengenai Skin Minecraft, aplikasi mod menipu ‘jutaan’ pengguna Android

by

Aplikasi modding Minecraft yang aktif di Google Play menarik pelanggan melalui model pembayaran yang besar dan kuat, peneliti memperingatkan.

Meskipun tidak selalu berbahaya, aplikasi fleeceware masih dapat merampas uang hasil jerih payah pengguna tanpa disadari dengan menyediakan barang atau layanan yang buruk melalui langganan otomatis yang berlebihan.

Game adalah arena yang populer untuk fleeceware karena skin add-on, wallpaper, item virtual, dan mod mungkin sangat dicari oleh pengguna khusus.

Minecraft telah menjadi sarang mod selama bertahun-tahun. Pengguna game populer, yang dikembangkan oleh Mojang dan diambil alih oleh Microsoft pada tahun 2014 seharga $2,5 miliar, sekarang menjadi sasaran melalui gelombang aplikasi perangkat lunak yang telah masuk ke Google Play Store.

Beginilah cara kerjanya: aplikasi fleeceware akan menawarkan uji coba “gratis” selama beberapa hari sebelum pengguna secara otomatis mendaftar untuk berlangganan. Biaya ini bisa sangat tinggi, dan di aplikasi yang ditemukan oleh Avast, yang paling mahal adalah $30 per minggu, atau $120 per bulan.

Secara total, tujuh aplikasi berbasis Minecraft telah dilaporkan ke Google, tetapi pada saat penulisan, semua aplikasi tersebut masih tersedia.

Aplikasi Android yang dilaporkan adalah: Skins, Mods, Maps for Minecraft PE, Skins for Roblox, Live Wallpapers HD & 3D Background, MasterCraft for Minecraft, Master for Minecraft, Boys and Girls Skins, dan Maps Skins and Mods for Minecraft.

Tidak cukup hanya dengan menghapus aplikasi jenis ini – Anda harus ingat untuk membatalkan langganan juga. Untuk melakukannya, buka menu Google Play Store dan arahkan ke tab “Langganan” untuk menghapusnya seluruhnya.

Sumber: ZDNet

Adware ditemukan di 21 aplikasi Android dengan lebih dari 7 juta unduhan

by

Google telah menghapus 15 dari 21 aplikasi Android dari Play Store resmi selama akhir pekan menyusul laporan dari pembuat antivirus Ceko, Avast.

Perusahaan keamanan mengatakan aplikasi tersebut terinfeksi dengan jenis malware yang dikenal sebagai HiddenAds.

Ditemukan pada tahun 2019, jenis adware Android ini beroperasi dengan menampilkan iklan yang berlebihan dan mengganggu dan dengan membuka browser seluler di halaman yang dipenuhi iklan atau halaman promosi.

Setelah pengguna menginstal salah satu aplikasi ini, malware HiddenAds akan menyembunyikan ikon aplikasi (untuk menyulitkan pengguna menghapus aplikasi di masa mendatang) dan kemudian mulai membombardir pengguna dengan iklan.

Enam dari 21 aplikasi masih tersedia di Play Store pada saat penulisan, seperti: Shoot Them, Helicopter Shoot, Find 5 Differences – 2020 NEW, Rotate Shape, Cover art Find the Differences – Puzzle Game, dan Money Destroyer.

Jika Anda memiliki salah satu dari daftar aplikasi di atas, sangat disarankan untuk menghapus nya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Google menghapus 17 aplikasi Android yang tertangkap terlibat dalam penipuan penagihan WAP

by

Google telah menghapus 17 aplikasi Android dari Play Store resmi.

17 aplikasi, yang ditemukan oleh peneliti keamanan dari Zscaler, terinfeksi malware Joker (alias Bread).

“Spyware ini dirancang untuk mencuri pesan SMS, daftar kontak, dan informasi perangkat, bersama dengan diam-diam mendaftarkan korban untuk layanan wireless application protocol (WAP) premium,” kata peneliti keamanan Zscaler Viral Gandhi.

17 aplikasi berbahaya diunggah di Play Store bulan ini dan telah diunduh lebih dari 120.000 kali sebelum terdeteksi.

Aplikasi tersebut adalah:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard – Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator – Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor – Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter – Photo to PDF
  • All Good PDF Scanner

Cara aplikasi yang terinfeksi ini berhasil menyelinap melewati pertahanan Google dan mencapai Play Store adalah melalui teknik yang disebut “droppers”, di mana perangkat korban terinfeksi dalam proses multi-tahap.

Pembuat malware mulai dengan mengkloning fungsionalitas aplikasi yang sah dan mengunggahnya di Play Store. Aplikasi ini berfungsi penuh, meminta akses ke izin berbahaya, tetapi juga tidak melakukan tindakan berbahaya saat pertama kali dijalankan.

Karena tindakan jahat biasanya tertunda selama berjam-jam atau berhari-hari, pemindaian keamanan Google tidak menemukan kode berbahaya tersebut, dan Google biasanya mengizinkan aplikasi tersebut untuk dicantumkan di Play Store.

Namun, begitu berada di perangkat pengguna, aplikasi tersebut akhirnya mendownload dan “menjatuhkan” komponen atau aplikasi lain di perangkat yang berisi malware Joker atau jenis malware lainnya.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet