Mobile Security

Roaming Mantis Menyebarkan Malware Seluler Yang Membajak Pengaturan DNS Router Wi-Fi

January 23, 2023 by Mally

Pelaku ancaman yang terkait dengan kampanye serangan Roaming Mantis telah diamati mengirimkan varian terbaru dari malware seluler paten mereka yang dikenal sebagai Wroba untuk menyusup ke router Wi-Fi dan melakukan pembajakan Domain Name System (DNS).

Kaspersky, yang melakukan analisis artefak jahat, mengatakan fitur tersebut dirancang untuk menargetkan router Wi-Fi tertentu yang berlokasi di Korea Selatan.

Mantis, adalah operasi bermotivasi finansial jangka panjang yang memilih pengguna smartphone Android dengan malware yang mampu mencuri kredensial rekening bank serta memanen jenis informasi sensitif lainnya.

Serangan tersebut memanfaatkan pesan smishing sebagai vektor intrusi awal pilihan untuk mengirimkan URL jebakan yang menawarkan APK berbahaya atau mengalihkan korban ke halaman phishing berdasarkan sistem operasi yang dipasang di perangkat seluler.

beberapa kompromi juga memanfaatkan router Wi-Fi sebagai sarana untuk membawa pengguna yang tidak menaruh curiga ke halaman arahan palsu dengan menggunakan teknik yang disebut pembajakan DNS

“Pengguna dengan perangkat Android yang terinfeksi yang terhubung ke jaringan Wi-Fi gratis atau publik dapat menyebarkan malware ke perangkat lain di jaringan jika jaringan Wi-Fi yang mereka sambungkan rentan,” kata peneliti.

selengkapnya : thehackernews

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

December 21, 2022 by Mally

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Microsoft Memperingatkan Peretas Menggunakan Iklan Google untuk Mendistribusikan Royal Ransomware

November 21, 2022 by Mally

Kluster aktivitas ancaman yang sedang berkembang telah ditemukan menggunakan Google Ads di salah satu kampanyenya untuk mendistribusikan berbagai muatan pasca-kompromi, termasuk ransomware Royal yang baru ditemukan.

Microsoft, yang melihat metode pengiriman malware yang diperbarui pada akhir Oktober 2022, melacak grup tersebut dengan nama DEV-0569.

Pelaku ancaman diketahui mengandalkan malvertising untuk mengarahkan korban yang tidak menaruh curiga ke tautan pengunduh malware yang berperan sebagai penginstal perangkat lunak untuk aplikasi yang sah seperti Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams, dan Zoom.

Pengunduh malware, jenis yang disebut BATLOADER, adalah penetes yang berfungsi sebagai saluran untuk mendistribusikan muatan tahap berikutnya. Telah diamati untuk berbagi tumpang tindih dengan malware lain yang disebut ZLoader.

Analisis BATLOADER baru-baru ini oleh eSentire dan VMware menyebut siluman dan kegigihan malware, selain penggunaan peracunan optimisasi mesin pencari (SEO) untuk memikat pengguna mengunduh malware dari situs web yang disusupi atau domain yang dibuat penyerang.

Alternatifnya, tautan phishing dibagikan melalui email spam, halaman forum palsu, komentar blog, dan bahkan formulir kontak yang ada di situs web organisasi yang ditargetkan.

Penggunaan Google Ads untuk mengirimkan BATLOADER secara selektif menandai diversifikasi vektor distribusi DEV-0569, memungkinkannya menjangkau lebih banyak target dan mengirimkan muatan malware, kata perusahaan tersebut.

Memposisikan grup untuk berfungsi sebagai broker akses awal untuk operasi ransomware lainnya, bergabung dengan malware seperti Emotet, IcedID, Qakbot.

“Karena skema phishing DEV-0569 menyalahgunakan layanan yang sah, organisasi juga dapat memanfaatkan aturan aliran email untuk menangkap kata kunci yang mencurigakan atau meninjau pengecualian yang luas, seperti yang terkait dengan rentang IP dan daftar izin tingkat domain,” kata Microsoft.

Sumber : the hacker news

Lebih dari 9 Juta Ponsel Android Menjalankan Aplikasi Malware dari AppGallery Huawei

November 25, 2021 by Mally

Setidaknya 9,3 juta perangkat Android telah terinfeksi oleh malware kelas baru yang menyamar sebagai lusinan game arcade, penembak, dan strategi di pasar AppGallery Huawei untuk mencuri informasi perangkat dan nomor ponsel korban.

Kampanye seluler diungkapkan oleh peneliti dari Doctor Web, yang mengklasifikasikan trojan sebagai “Android.Cynos.7.origin,” karena fakta bahwa malware tersebut adalah versi modifikasi dari malware Cynos. Dari total 190 game berbahaya yang diidentifikasi, beberapa dirancang untuk menargetkan pengguna berbahasa Rusia, sementara yang lain ditujukan untuk audiens Cina atau internasional.

Setelah diinstal, aplikasi meminta izin kepada korban untuk melakukan dan mengelola panggilan telepon, menggunakan akses untuk mengumpulkan nomor telepon mereka bersama dengan informasi perangkat lain seperti geolokasi, parameter jaringan seluler, dan metadata sistem.

Sementara aplikasi yang mengandung malware telah dihapus dari toko aplikasi, pengguna yang telah menginstal aplikasi di perangkat mereka harus menghapusnya secara manual untuk mencegah eksploitasi lebih lanjut.

Selengkapnya: The Hacker News

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

November 9, 2021 by Mally

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Malware baru memanfaatkan COVID-19 untuk menargetkan pengguna Android

September 24, 2021 by Mally

Bentuk baru malware yang oleh para ahli disebut sebagai “TangleBot” mengandalkan minat pada COVID-19 untuk mengelabui pengguna Android di AS dan Kanada agar mengklik tautan yang akan menginfeksi ponsel mereka, menurut analis di ponsel dan perusahaan keamanan email Cloudmark.

Cloudmark mengatakan malware “pintar dan rumit” mengirim pesan teks kepada pengguna Android yang mengklaim memiliki panduan COVID-19 terbaru di wilayah mereka atau memberi tahu mereka bahwa janji temu vaksin COVID-19 ketiga mereka telah dijadwalkan.

Ketika pengguna mengklik tautan yang disediakan, mereka diminta untuk memperbarui pemutar Adobe Flash ponsel mereka, yang sebaliknya menginstal virus di ponsel mereka, menurut Cloudmark.

“Setelah itu terjadi, malware TangleBot dapat melakukan banyak hal berbeda,” Ryan Kalember, wakil presiden eksekutif keamanan siber di perusahaan induk Cloudmark, ProofPoint, mengatakan kepada CBS News.

“Itu bisa mengakses mikrofon, kamera, SMS, log panggilan, internet, dan GPS Anda sehingga ia tahu di mana Anda berada,” tambah Kalember.

Kalember mengatakan para peretas telah menggunakan TangleBot selama “berminggu-minggu” dan dampaknya berpotensi “sangat luas.” Namun, Android memang memiliki beberapa perlindungan terhadap virus. Sebelum mengunduh malware, pengguna diperingatkan oleh Android tentang bahayanya menginstal perangkat lunak dari “sumber tidak dikenal” dan serangkaian kotak izin ditampilkan sebelum ponsel terinfeksi.

Menurut Kalember, malware TangleBot memiliki kemampuan untuk menunjukkan kepada pengguna yang diretas sebuah layar “overlay” yang tampak asli tetapi malah merupakan jendela palsu yang dijalankan oleh penyerang untuk mencuri informasi.

Overlays ini digunakan untuk meretas kredensial perbankan karena pengguna mungkin percaya bahwa mereka masuk ke perbankan seluler mereka saat mengetik informasi mereka di layar palsu, yang kemudian menyampaikan informasi tersebut ke peretas.

Setelah malware diinstal pada perangkat, “cukup sulit untuk menghapusnya,” menurut Kalember dan informasi yang dicuri dapat dimonetisasi dengan baik di masa depan.

Sumber: CBS News

Payment API Mengekspos Jutaan Data Pembayaran Pengguna

September 23, 2021 by Mally

Pengembang aplikasi sekali lagi dituduh memiliki butterfingers dalam hal kunci API, membuat jutaan pengguna aplikasi seluler berisiko mengekspos data pribadi dan pembayaran mereka.

CloudSEK, pembuat kecerdasan buatan yang mengaktifkan perlindungan ancaman digital, melaporkan minggu lalu bahwa bahwa berbagai perusahaan yang melayani jutaan pengguna memiliki aplikasi seluler dengan kunci API yang di-hardcode dalam paket aplikasi: Kunci yang tidak boleh diekspos di aplikasi endpoint.

“Meskipun paparan kunci API yang merajalela berbahaya untuk aplikasi apa pun, ini sangat penting ketika menyangkut aplikasi yang menangani informasi pembayaran seperti detail bank, informasi kartu kredit, dan transaksi UPI, selain pengguna [personally identifiable information, atau PII]. ],” menurut laporan CloudSEK.

API – antarmuka pemrograman aplikasi – adalah urat nadi dan arteri ekosistem seluler, memungkinkan aplikasi berkomunikasi dengan berbagai sumber dan memindahkan data masuk dan keluar dari aplikasi tersebut. Ini adalah bagian “integral” dari cara kerja aplikasi, kata CloudSEK, yang berarti bahwa pengembang aplikasi harus menanganinya dengan sangat hati-hati untuk menghindari kebocoran data pelanggan: “Setiap kesalahan penanganan kunci API yang sistematis di antara pengembang aplikasi dapat menyebabkan ancaman bagi bisnis aplikasi,” para peneliti menyampaikan.

Para peneliti fokus pada 13.000 aplikasi yang saat ini diunggah ke mesin pencari keamanan aplikasi seluler CloudSEK, BeVigil, sekitar 250 di antaranya – sekitar 5 persen – menggunakan Razorpay API untuk menggerakkan transaksi keuangan.

CloudSEK menegaskan, eksposur kunci API menjadi “bukti bagaimana kunci API salah ditangani oleh pengembang aplikasi.”

Selengkapnya: The Threat Post

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

August 26, 2021 by Mally

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Mobile Security

Cookies Settings