Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Mobile Security

Mobile Security

Ponsel Android rentan terhadap serangan brute-force sidik jari

by

Para peneliti di Tencent Labs dan Universitas Zhejiang telah mempresentasikan serangan baru yang disebut ‘BrutePrint,’ yang memaksa sidik jari pada smartphone modern untuk memotong otentikasi pengguna dan mengambil kendali perangkat.

Serangan brute-force mengandalkan banyak percobaan dan kesalahan untuk memecahkan kode, kunci, atau kata sandi dan mendapatkan akses tidak sah ke akun, sistem, atau jaringan.

Para peneliti China berhasil mengatasi perlindungan yang ada pada smartphone, seperti batas percobaan dan deteksi liveness yang melindungi dari serangan brute-force, dengan mengeksploitasi apa yang mereka klaim sebagai dua kerentanan zero-day, yaitu Cancel-After-Match-Fail (CAMF) dan Match -Setelah-Kunci (MAL).

Penulis makalah teknis yang diterbitkan di Arxiv.org juga menemukan bahwa data biometrik pada Serial Peripheral Interface (SPI) sensor sidik jari tidak cukup terlindungi, memungkinkan serangan man-in-the-middle (MITM) untuk membajak gambar sidik jari.

Serangan BrutePrint dan SPI MITM diuji terhadap sepuluh model smartphone populer, mencapai upaya tak terbatas pada semua perangkat Android dan HarmonyOS (Huawei) dan sepuluh upaya tambahan pada perangkat iOS.

Gagasan BrutePrint adalah untuk melakukan pengiriman gambar sidik jari dalam jumlah tak terbatas ke perangkat target hingga sidik jari yang ditentukan pengguna cocok.

Penyerang membutuhkan akses fisik ke perangkat target untuk meluncurkan serangan BrutePrint, akses ke basis data sidik jari yang dapat diperoleh dari kumpulan data akademik atau kebocoran data biometrik, dan peralatan yang diperlukan, dengan biaya sekitar $15.

Selengkapnya: Bleeping Computer

Roaming Mantis Menyebarkan Malware Seluler Yang Membajak Pengaturan DNS Router Wi-Fi

by

Pelaku ancaman yang terkait dengan kampanye serangan Roaming Mantis telah diamati mengirimkan varian terbaru dari malware seluler paten mereka yang dikenal sebagai Wroba untuk menyusup ke router Wi-Fi dan melakukan pembajakan Domain Name System (DNS).

Kaspersky, yang melakukan analisis artefak jahat, mengatakan fitur tersebut dirancang untuk menargetkan router Wi-Fi tertentu yang berlokasi di Korea Selatan.

Mantis, adalah operasi bermotivasi finansial jangka panjang yang memilih pengguna smartphone Android dengan malware yang mampu mencuri kredensial rekening bank serta memanen jenis informasi sensitif lainnya.

Serangan tersebut memanfaatkan pesan smishing sebagai vektor intrusi awal pilihan untuk mengirimkan URL jebakan yang menawarkan APK berbahaya atau mengalihkan korban ke halaman phishing berdasarkan sistem operasi yang dipasang di perangkat seluler.

beberapa kompromi juga memanfaatkan router Wi-Fi sebagai sarana untuk membawa pengguna yang tidak menaruh curiga ke halaman arahan palsu dengan menggunakan teknik yang disebut pembajakan DNS

“Pengguna dengan perangkat Android yang terinfeksi yang terhubung ke jaringan Wi-Fi gratis atau publik dapat menyebarkan malware ke perangkat lain di jaringan jika jaringan Wi-Fi yang mereka sambungkan rentan,” kata peneliti.

selengkapnya : thehackernews

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

by

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

by

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Pengguna Android sekarang dapat menonaktifkan 2G untuk memblokir serangan Stingray

by

Google akhirnya meluncurkan opsi di Android yang memungkinkan pengguna untuk menonaktifkan koneksi 2G, yang datang dengan sejumlah masalah privasi dan keamanan yang dieksploitasi oleh simulator situs seluler.

Simulator situs seluler, juga dikenal sebagai “ikan pari” atau IMSI Catcher, adalah perangkat yang menyamar sebagai menara seluler, memaksa ponsel dalam jangkauannya untuk terhubung.

Koneksi ini memungkinkan operator ikan pari ini untuk melakukan serangan man-in-the-middle dan mencegat informasi pribadi yang sensitif seperti: Perangkat IMSI (identitas pelanggan seluler internasional), Metadata panggilan seperti nomor dan durasi yang dihubungi, SMS dan konten panggilan suara, Data penggunaan dan riwayat penelusuran web

Sayangnya, metode penyadapan data ini telah berulang kali dan tanpa pandang bulu digunakan oleh otoritas penegak hukum selama protes damai di negara-negara demokratis di mana undang-undang perlindungan data yang ketat berlaku.

Selain itu, kasus penyebaran pribadi “Stingray” yang terdokumentasi juga telah melimpah dalam beberapa tahun terakhir, sehingga penyalahgunaan kerentanan jaringan komunikasi tersebar luas.

Sebagian besar kerentanan ini telah diatasi dalam 4G, tetapi stasiun pangkalan yang disimulasikan memiliki cara untuk menurunkan koneksi perangkat terdekat ke 2G, pada dasarnya meletakkan dasar untuk mengeksploitasi kelemahan lama.

Selengkapnya: Bleeping Computer

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

by

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sumber: TheHackerNews

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

by

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

by

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News