Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for RAT

RAT

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

AS memperingatkan peretas Lazarus yang menggunakan aplikasi cryptocurrency berbahaya

by

CISA, FBI, dan Departemen Keuangan AS hari ini memperingatkan bahwa kelompok peretasan Lazarus Korea Utara menargetkan organisasi di industri cryptocurrency dan blockchain dengan aplikasi cryptocurrency tertrojan.

Penyerang menggunakan rekayasa sosial untuk mengelabui karyawan perusahaan cryptocurrency agar mengunduh dan menjalankan aplikasi cryptocurrency Windows dan macOS yang berbahaya.

Operator Lazarus kemudian menggunakan alat trojan ini untuk mendapatkan akses ke komputer target, menyebarkan malware ke seluruh jaringan mereka, dan mencuri kunci pribadi yang memungkinkan memulai transaksi blockchain palsu dan mencuri aset kripto korban dari dompet mereka.

“Penyusupan dimulai dengan sejumlah besar pesan spearphishing yang dikirim ke karyawan perusahaan cryptocurrency—seringkali bekerja di administrasi sistem atau pengembangan perangkat lunak/operasi TI (DevOps)—pada berbagai platform komunikasi,” demikian bunyi penasihat bersama yang diterbitkan pada hari Senin.

Aplikasi TraderTraitor yang tertrojan adalah utilitas berbasis Elektron dan lintas platform yang dikembangkan menggunakan JavaScript dan lingkungan runtime Node.js.

Aplikasi TraderTraitor hampir selalu didorong melalui situs web yang menampilkan desain modern yang mengiklankan fitur dugaan aplikasi kripto palsu.

Situs web CryptAIS (CISA)

“Muatan yang diamati termasuk macOS dan Windows varian Manuscrypt yang diperbarui, trojan akses jarak jauh khusus (RAT), yang mengumpulkan informasi sistem dan memiliki kemampuan untuk menjalankan perintah sewenang-wenang dan mengunduh muatan tambahan,” tambah agen federal.

Di antara aplikasi cryptocurrency TraderTraitor berbahaya yang digunakan dalam kampanye ini, saran bersama menyoroti:

DAFOM: “aplikasi portofolio cryptocurrency” (macOS)
TokenAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” untuk cryptocurrency (macOS)
CryptAIS: mengklaim membantu “membangun portofolio perdagangan berbasis AI” (macOS)
AlticGO: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (Windows)
Esilet: mengklaim menawarkan harga cryptocurrency langsung dan prediksi harga (macOS)
CreAI Deck: mengklaim sebagai platform untuk “kecerdasan buatan dan pembelajaran mendalam” (Windows dan macOS)

Tahun lalu, FBI, CISA, dan Departemen Keuangan AS juga berbagi informasi tentang aplikasi perdagangan crypto jahat dan palsu yang disuntik dengan malware AppleJeus yang digunakan oleh Lazarus untuk mencuri cryptocurrency dari individu dan perusahaan di seluruh dunia.

Daftar aplikasi yang di-trojan menggunakan AppleJeus termasuk Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio, dan Ants2Whale.

Departemen Kehakiman A.S. mendakwa tiga anggota Lazarus Group karena mencuri $1,3 miliar uang dan cryptocurrency dalam beberapa serangan terhadap bank, industri hiburan, perusahaan cryptocurrency, dan organisasi lain di seluruh dunia.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas Korea Utara (Lazarus Group, Bluenoroff, dan Andariel) karena menyalurkan aset keuangan yang mereka curi dalam serangan siber kepada pemerintah Korea Utara.

Sumber : Bleeping Computer

Bank-bank Afrika sangat ditargetkan dalam kampanye malware RemcosRAT

by

Bank-bank Afrika semakin menjadi sasaran kampanye distribusi malware yang menggunakan trik penyelundupan HTML dan domain salah ketik untuk menjatuhkan trojan akses jarak jauh (RAT).

Penjahat dunia maya yang tertarik dengan keuntungan finansial yang cepat adalah sumber masalah yang konstan bagi bank-bank di Afrika, yang terpaksa menerapkan kontrol keamanan gerbang yang ketat.

Ini telah memaksa para pelaku ancaman untuk membuat serangan yang lebih pintar yang dapat melewati langkah-langkah perlindungan, dan pada tahun 2022, kampanye penargetan bank terlihat menggunakan kombinasi trik.

Serangan dimulai dengan email phishing yang dikirim ke karyawan bank dari domain salah ketik yang menyerupai URL perusahaan yang sah, biasanya bank pesaing.

Email tersebut memberi penerima tawaran pekerjaan yang menggiurkan dan tautan ke detail di situs tersebut. Mengikuti tautan itu membawa korban ke halaman web yang berisi instruksi aplikasi.

Domain yang salah ketik menghosting konten curian (HP)

Situs-situs ini tidak melakukan phishing atau menghosting malware, jadi satu-satunya tujuan mereka adalah mengarahkan korban ke jalur infeksi.

Payload tiba dalam bentuk lampiran HTML pada pesan email tersebut, yang merupakan file arsip ISO yang disandikan base64 yang didekodekan dengan cepat dan ditawarkan untuk diunduh melalui gumpalan JavaScript di browser.

File ISO yang disandikan base64 (HP)

Teknik menyelinap format file berisiko tanpa meningkatkan alarm dari produk keamanan email disebut penyelundupan HTML, dan ini adalah metode distribusi muatan yang mapan dan sedang tren.

File ISO berisi file Visual Basic Script (VBS), yang dijalankan setelah klik dua kali untuk membuat kunci Registry baru dan menjalankan perintah PowerShell yang memanggil berbagai fungsi Windows API.

Setelah serangkaian eksekusi kode berbahaya dan penyalahgunaan Windows API, GuLoader dipasang di sistem dan dieksekusi untuk mengunduh dan menjalankan malware RemcosRAT.

Menurut analis ancaman HP, GuLoader memiliki dua URL unduhan dalam konfigurasinya, satu mengarah ke Dropbox dan satu lagi ke OneDrive, jadi ada beberapa redundansi yang diterapkan pada tahap ini.

Penting juga untuk dicatat bahwa GuLoader dijalankan melalui PowerShell yang disimpan di registri, dan berjalan di memori sistem, sehingga sebagian besar alat anti-virus tidak akan mendeteksinya.

Seperti yang ditunjukkan HP, satu-satunya cara untuk memutus rantai infeksi adalah dengan mengatur aplikasi default untuk file skrip dari Windows Script Host ke Notepad, yang akan mengungkapkan sifat sebenarnya dari file VBS.

Isi file VBS seperti yang terlihat di Notepad (HP)

Remcos adalah alat akses jarak jauh komersial (RAT) yang sah yang telah digunakan oleh penjahat dunia maya untuk tujuan jahat selama beberapa tahun sekarang.

Ini adalah alat canggih yang mendukung eksekusi perintah jarak jauh, pengambilan tangkapan layar, pencatatan penekanan tombol, perekaman webcam dan mikrofon, dan banyak lagi.

Pelaku ancaman menggunakan Remcos untuk mengendus detail transaksi, mencuri kredensial berharga, bergerak secara lateral di jaringan bank, atau mencuri informasi yang diperlukan untuk serangan BEC.

Pemerasan finansial melalui eksfiltrasi data atau penyebaran ransomware juga mungkin terjadi, sementara pelaku ancaman selalu dapat memilih untuk menjual akses jaringan mereka ke peretas lain dan menghasilkan uang dengan cepat tanpa mempertaruhkan masalah penegakan hukum.

Sumber : Bleeping Computer

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

by

Sistem arah lalu lintas baru (TDS) yang disebut Parrot mengandalkan server yang menampung 16.500 situs web universitas, pemerintah daerah, platform konten dewasa, dan blog pribadi.

Penggunaan Parrot adalah untuk kampanye jahat untuk mengarahkan calon korban yang cocok dengan profil tertentu (lokasi, bahasa, sistem operasi, browser) ke sumber daya online seperti situs phishing dan menjatuhkan malware.

Pelaku ancaman yang menjalankan kampanye jahat membeli layanan TDS untuk memfilter lalu lintas masuk dan mengirimkannya ke tujuan akhir yang menyajikan konten berbahaya.

Parrot TDS ditemukan oleh analis ancaman di Avast, yang melaporkan bahwa saat ini digunakan untuk kampanye yang disebut FakeUpdate, yang mengirimkan trojan akses jarak jauh (RAT) melalui pemberitahuan pembaruan browser palsu.

Situs yang menampilkan peringatan pembaruan browser palsu (Avast)

Kampanye tampaknya telah dimulai pada Februari 2022 tetapi tanda-tanda aktivitas Parrot telah dilacak hingga Oktober 2021.

Kode JavaScript berbahaya terlihat di situs yang disusupi (Avast)

Pelaku ancaman telah menanam web shell berbahaya di server yang disusupi dan menyalinnya ke berbagai lokasi dengan nama serupa yang mengikuti pola “parroting”.

Selain itu, musuh menggunakan skrip backdoor PHP yang mengekstrak informasi klien dan meneruskan permintaan ke server perintah dan kontrol (C2) Parrot TDS.

Dalam beberapa kasus, operator menggunakan pintasan tanpa skrip PHP, mengirimkan permintaan langsung ke infrastruktur Parrot.

Penerusan langsung dan proksi Parrot (Avast)

Avast mengatakan bahwa pada Maret 2022 saja layanannya melindungi lebih dari 600.000 kliennya dari mengunjungi situs yang terinfeksi ini, yang menunjukkan skala besar gerbang pengalihan Parrot.

Sebagian besar pengguna yang ditargetkan oleh pengalihan berbahaya ini berada di Brasil, India, Amerika Serikat, Singapura, dan Indonesia.

Pengalihan Parrot mencoba peta panas (Avast)

Seperti yang dijelaskan Avast dalam laporan, profil pengguna dan pemfilteran kampanye tertentu sangat disesuaikan sehingga pelaku jahat dapat menargetkan orang tertentu dari ribuan pengguna yang dialihkan.

Ini dicapai dengan mengirimkan target tersebut ke URL unik yang menjatuhkan muatan berdasarkan perangkat keras, perangkat lunak, dan profil jaringan yang ekstensif.

Payload yang dijatuhkan pada sistem target adalah NetSupport Client RAT yang diatur untuk berjalan dalam mode senyap, yang menyediakan akses langsung ke mesin yang disusupi.

Detail payload yang dijatuhkan (Avast)

Sementara kampanye RAT saat ini merupakan operasi utama yang dilayani oleh Parrot TDS, analis Avast juga memperhatikan beberapa server terinfeksi yang menghosting situs phishing.

Halaman arahan tersebut menyerupai halaman login Microsoft yang tampak sah yang meminta pengunjung untuk memasukkan kredensial akun mereka.

Salah satu situs phishing yang dilayani oleh Parrot TDS (Avast)

Untuk admin server web yang berpotensi disusupi, Avast merekomendasikan tindakan berikut:

  • Pindai semua file di server web dengan antivirus.
  • Ganti semua file JavaScript dan PHP di server web dengan yang asli.
  • Gunakan versi CMS dan versi plugin terbaru.
  • Periksa untuk menjalankan tugas secara otomatis di server web seperti tugas cron.
  • Selalu gunakan kredensial unik dan kuat untuk setiap layanan dan semua akun, dan tambahkan 2FA jika memungkinkan.
  • Gunakan beberapa plugin keamanan yang tersedia untuk WordPress dan Joomla

Sumber : Bleeping Computer

Peretas Kimsuki menggunakan RAT komoditas dengan malware Gold Dragon khusus

by

Peneliti Korea Selatan melihat aktivitas baru dari kelompok peretasan Kimsuky, yang melibatkan alat akses jarak jauh sumber terbuka komoditas yang dijatuhkan dengan pintu belakang khusus mereka, Gold dragon.

Grup ini telah menunjukkan keserbagunaan operasional yang mengesankan dan pluralisme aktivitas ancaman, terlibat dalam distribusi malware, phishing, pengumpulan data, dan bahkan pencurian cryptocurrency.

Analis di ASEC (AhnLab), Kimsuky menggunakan xRAT dalam serangan yang ditargetkan terhadap entitas Korea Selatan. Kampanye dimulai pada 24 Januari 2022, dan masih berlangsung.

xRAT adalah akses jarak jauh sumber terbuka dan alat administrasi yang tersedia secara gratis di GitHub. Malware ini menyediakan berbagai fitur seperti keylogging, remote shell, tindakan pengelola file, proxy HTTPS terbalik, komunikasi AES-128, dan rekayasa sosial otomatis.

Pelaku ancaman yang canggih dapat memilih untuk menggunakan RAT komoditas karena, untuk operasi pengintaian dasar, alat ini sangat memadai dan tidak memerlukan banyak konfigurasi.

Hal ini memungkinkan pelaku ancaman untuk memfokuskan sumber daya mereka pada pengembangan malware tahap selanjutnya yang memerlukan fungsionalitas lebih khusus tergantung pada alat/praktik pertahanan yang ada pada target.

Selain itu, RAT komoditas berbaur dengan aktivitas dari spektrum pelaku ancaman yang luas, sehingga mempersulit analis untuk mengaitkan aktivitas jahat dengan kelompok tertentu.

Pintu belakang Gold Dragon
Gold Dragon adalah backdoor tahap kedua yang biasanya disebarkan Kimsuky setelah serangan tahap pertama berbasis PowerShell tanpa file yang memanfaatkan steganografi.

Namun, seperti yang dijelaskan ASEC dalam laporannya, varian yang mereka temukan dalam kampanye terbaru ini memiliki fungsi tambahan seperti eksfiltrasi informasi sistem dasar.

Malware tidak lagi menggunakan proses sistem untuk fungsi ini, tetapi menginstal alat xRAT untuk mencuri informasi yang diperlukan secara manual.

RAT berada di bawah penyamaran yang dapat dieksekusi bernama cp1093.exe, yang menyalin proses PowerShell normal (powershell_ise.exe) ke jalur “C:\ProgramData\” dan dijalankan melalui proses lekukan.

Pada aspek operasional Naga Emas, ia terus menggunakan metode pengosongan proses yang sama pada iexplore.exe dan svchost.exe, dan masih mencoba untuk menonaktifkan fitur deteksi waktu nyata di produk AhnLab AV.

Selanjutnya, penginstal menambahkan kunci registri baru untuk membuat persistensi startup untuk muatan malware (glu32.dll).

Entri registri baru untuk muatan utama
Sumber: ASEC

Akhirnya, Kimsuky menjatuhkan uninstaller (UnInstall_kr5829.co.in.exe) yang dapat menghapus jejak kompromi jika dan saat dibutuhkan.

Kimsuky’s infection trace wiper
Source: ASEC

AhnLab menyarankan agar pengguna tidak membuka lampiran pada email dari sumber yang tidak dikenal, karena ini tetap menjadi saluran utama distribusi malware untuk Kimsuky.

Sumber : Bleeping Computer

Malware Medusa Bergabung dengan Jaringan Distribusi Android Flubot

by

Flubot, spyware Android yang telah menyebar secara viral sejak tahun lalu, telah meningkatkan infrastrukturnya ke ancaman seluler lain yang dikenal sebagai Medusa.

Malware Flubot (alias Cabassous) dikirimkan ke target melalui teks SMS yang meminta mereka untuk menginstal aplikasi “pengiriman paket yang tidak terjawab” atau versi Flash Player palsu. Jika korban tertipu, malware diinstal, kemudian menambahkan perangkat yang terinfeksi ke botnet, setelah itu mendapatkan izin, mencuri informasi dan kredensial perbankan, mencabut kata sandi yang tersimpan di perangkat dan membuang berbagai informasi pribadi.

Rupanya, Medusa menyukai potongan jib Flubot: “Kecerdasan ancaman kami menunjukkan bahwa Medusa mengikuti dengan nama aplikasi, nama paket, dan ikon serupa yang persis sama,” catat peneliti ThreatFabric dalam analisis hari Senin. “Dalam waktu kurang dari sebulan, pendekatan distribusi ini memungkinkan Medusa menjangkau lebih dari 1.500 perangkat yang terinfeksi dalam satu botnet, menyamar sebagai DHL.”

Tidak seperti Flubot, yang terutama menyebar di Eropa, Medusa lebih merupakan ancaman dengan peluang yang sama dalam hal geografi. Kampanye terbaru menargetkan pengguna dari Kanada, Turki, dan Amerika Serikat.

“Setelah menargetkan organisasi keuangan Turki pada periode pertama kegiatannya pada tahun 2020, Medusa kini telah mengalihkan fokusnya ke Amerika Utara dan Eropa, yang menghasilkan [a] sejumlah besar perangkat yang terinfeksi,” catat peneliti ThreatFabric. “Didukung dengan beberapa fitur akses jarak jauh, Medusa menimbulkan ancaman kritis bagi organisasi keuangan di wilayah yang ditargetkan.”

Pertama kali ditemukan pada Juli 2020, Medusa (terkait dengan keluarga Tanglebot dari RAT) adalah trojan mobile banking yang dapat memperoleh kontrol hampir penuh atas perangkat pengguna, termasuk kemampuan untuk keylogging, aktivitas trojan perbankan, dan streaming audio dan video. Untuk boot, ia telah menerima beberapa pembaruan dan peningkatan dalam teknik pengaburannya saat ia melompat pada coattails infrastruktur Flubot, kata para peneliti.

Pertama, ia sekarang memiliki mesin skrip aksesibilitas yang memungkinkan aktor untuk melakukan serangkaian tindakan atas nama korban, dengan bantuan Layanan Aksesibilitas Android.

Pencatatan peristiwa aksesibilitas adalah peningkatan pendamping ke yang di atas. Dengan perintah khusus, Medusa dapat mengumpulkan informasi tentang jendela aktif, termasuk posisi bidang dan elemen tertentu dalam antarmuka pengguna, teks apa pun di dalam elemen tersebut, dan apakah bidang tersebut adalah bidang kata sandi.

Cuplikan berikut menunjukkan kode yang mengumpulkan informasi jendela aktif melalui node-nya:

Selanjutnya, dalam memeriksa panel back-end Medusa, peneliti mengamati operator malware yang menandai aplikasi perbankan dengan tag “BANK”, untuk mengontrol/mencatat bidang input.

Server perintah-dan-kontrol (C2) juga dapat memerintahkan Medusa untuk melakukan berbagai macam pekerjaan RAT, termasuk mengklik elemen UI tertentu, tidur, screenshot, mengunci layar, menyediakan daftar aplikasi terbaru dan membuka pemberitahuan terbaru. .

Flubot Mengembangkan Kemampuannya
Para peneliti juga memperhatikan bahwa penambahan Medusa ke dalam campuran tidak memperlambat pengembangan Flubot sendiri. Mereka menjelaskan bahwa sekarang memiliki “kemampuan baru yang belum pernah terlihat sebelumnya di malware mobile banking.”

Intinya: Dalam versi 5.4, Medusa mengambil kemampuan untuk menyalahgunakan fitur “Pemberitahuan Balasan Langsung” dari OS Android, yang memungkinkan malware untuk langsung membalas pemberitahuan push dari aplikasi yang ditargetkan pada perangkat korban. Pengguna tidak menyadari aktivitas tersebut, sehingga Flubot dapat mencegat mereka – membuka pintu untuk menggagalkan otentikasi dua faktor dan banyak lagi, kata para peneliti.

Potensi penyalahgunaan lain dari fungsi ini adalah untuk menanggapi interaksi aplikasi sosial dengan “pemberitahuan” yang berisi tautan phishing berbahaya.

Sumber : Threat Post

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

by

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

Malware Android BRATA menghapus perangkat Anda setelah mencuri data

by

Malware Android BRATA telah menambahkan fitur baru dan berbahaya ke versi terbarunya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi yang melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.

BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.

Pada bulan Desember 2021 Cleafy menggarisbawahi munculnya malware di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan keterlibatan penipu yang menyamar sebagai agen dukungan pelanggan bank.

Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.

Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.

Varian BRATA beredar di berbagai negara
Sumber: Cleafy

Penulis menggunakan teknik kebingungan serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.

Kebingungan ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.

Tingkat deteksi sampel terbaru
Sumber: Cleafy

BRATA sekarang secara aktif mencari tanda-tanda keberadaan AV pada perangkat dan mencoba untuk menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.

Alat AV dihapus oleh BRATA
Sumber: Cleafy

Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.

Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.

Fungsi reset pabrik
Sumber: Cleafy

Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.

Komunikasi dengan C2 di BRATA baru
Sumber: Cleafy

Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.

Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.

Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web yang teduh, dan selalu memindainya dengan alat AV sebelum dibuka.

Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.

Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.

Sumber : Bleeping Computer