Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for SharkBot

SharkBot

Aplikasi File Android Menginfeksi Ribuan Orang dengan Malware Sharkbot

by

Kumpulan baru aplikasi Android berbahaya yang berpura-pura sebagai pengelola file yang tidak berbahaya telah menyusup ke toko aplikasi resmi Google Play, menginfeksi pengguna dengan trojan perbankan Sharkbot.

Aplikasi tidak membawa muatan berbahaya saat penginstalan untuk menghindari deteksi saat dikirimkan di Google Play, tetapi mengambilnya nanti dari sumber daya jarak jauh.

Karena aplikasi trojan adalah pengelola file, kecil kemungkinannya menimbulkan kecurigaan saat meminta izin berbahaya untuk memuat malware Sharkbot.

Pengelola File Palsu Menginfeksi Android
Sharkbot adalah malware berbahaya yang mencoba mencuri rekening bank online dengan menampilkan formulir login palsu melalui permintaan login yang sah di aplikasi perbankan. Saat pengguna mencoba masuk ke bank mereka menggunakan salah satu formulir palsu ini, kredensial dicuri dan dikirim ke pelaku ancaman.

Dalam laporan baru oleh Bitdefender, analis menemukan aplikasi trojan Android baru yang menyamar sebagai pengelola file dan melaporkannya ke Google. Semuanya telah dihapus dari Google Play Store.

X-File Manager di Google Play (Bitdefender)

Aplikasi ini melakukan pemeriksaan anti-emulasi untuk menghindari deteksi dan hanya akan memuat Sharkbot di SIM Britania Raya atau Italia, jadi ini adalah bagian dari kampanye yang ditargetkan.

Daftar aplikasi bank seluler yang ditargetkan oleh malware ditampilkan di bawah, tetapi seperti yang dicatat Bitdefender, pelaku ancaman dapat memperbarui daftar ini dari jarak jauh kapan saja.

Bank yang ditargetkan oleh kampanye Sharkbot ini (Bitdefender)

Aplikasi jahat meminta pengguna untuk memberikan izin berisiko seperti membaca dan menulis penyimpanan eksternal, menginstal paket baru, mengakses detail akun, menghapus paket (untuk menghapus jejak), dll.

Sharkbot diambil sebagai pembaruan program palsu, yang diminta X-File Manager untuk disetujui pengguna sebelum menginstal.

Aplikasi jahat kedua yang memasang trojan perbankan adalah ‘FileVoyager’ oleh Julia Soft Io LLC (com.potsepko9.FileManagerApp), diunduh 5.000 kali melalui Google Play.

FileVoyager menampilkan pola operasional yang sama dengan X-File Manager dan menargetkan lembaga keuangan yang sama di Italia dan Inggris.

Aplikasi pemuatan Sharkbot lain yang ditemukan oleh Bitdefender adalah ‘LiteCleaner M’ (com.ltdevelopergroups.litecleaner.m), yang mengumpulkan 1.000 unduhan sebelum ditemukan dan dihapus dari Play Store.

sumber : bleeping computer

10 aplikasi target trojan perbankan Android teratas dengan 1 miliar unduhan

by

Sepuluh trojan mobile banking Android paling produktif menargetkan 639 aplikasi keuangan yang secara kolektif memiliki lebih dari satu miliar unduhan di Google Play Store.

Trojan mobile banking bersembunyi di balik aplikasi yang tampaknya tidak berbahaya seperti alat produktivitas dan game dan biasanya menyelinap ke Google Play Store, toko aplikasi resmi Android.

Setelah menginfeksi perangkat, mereka melapisi halaman login di atas aplikasi perbankan dan keuangan yang sah untuk mencuri kredensial akun, memantau pemberitahuan untuk mengambil OTP, dan bahkan melakukan penipuan keuangan di perangkat dengan menyalahgunakan layanan Aksesibilitas untuk melakukan tindakan sebagai pengguna.

Menurut sebuah laporan oleh Zimperium yang memberikan gambaran umum tentang ekosistem Android pada kuartal pertama tahun 2021, masing-masing trojan ini telah mengambil tempat unik di pasar dengan berapa banyak organisasi yang mereka targetkan serta fungsionalitas yang membedakan mereka dari yang lain.

Temuan ini sangat mengkhawatirkan, karena menurut survei tahun 2021, tiga dari empat responden di AS menggunakan aplikasi perbankan untuk melakukan aktivitas perbankan harian mereka, memberikan kumpulan besar target untuk trojan ini.

Amerika Serikat menduduki puncak daftar negara yang paling ditargetkan memiliki 121 aplikasi yang ditargetkan. Inggris mengikuti dengan 55 aplikasi, Italia dengan 43, Turki dengan 34, Australia dengan 33, dan Prancis memiliki 31.

Trojan yang menargetkan sebagian besar aplikasi adalah Teabot, mencakup 410 dari 639 aplikasi yang dilacak, sementara Exobot juga menargetkan kumpulan 324 aplikasi yang cukup besar.

Aplikasi yang ditargetkan dengan unduhan terbanyak adalah PhonePe yang sangat populer di India, memiliki 100 juta unduhan dari Play Store.

Binance, aplikasi pertukaran cryptocurrency populer, menghitung 50 juta unduhan. Cash App, layanan pembayaran seluler yang mencakup AS dan Inggris, juga memiliki 50 juta pemasangan melalui Play Store. Keduanya juga menjadi sasaran beberapa trojan perbankan, bahkan jika mereka tidak menawarkan layanan perbankan konvensional.

Aplikasi yang paling banyak diincar adalah BBVA, portal perbankan online global dengan puluhan juta unduhan. Aplikasi ini ditargetkan oleh tujuh dari sepuluh trojan perbankan paling aktif.

Trojan perbankan paling produktif pada kuartal pertama tahun ini, menurut Zimperium, adalah sebagai berikut.

BianLian – Menargetkan Binance, BBVA, dan berbagai aplikasi Turki. Versi baru dari trojan yang ditemukan pada April 2022 menampilkan bypassing photoTAN, yang dianggap sebagai metode autentikasi yang kuat dalam perbankan online.
Cabassous – Menargetkan Barclays, CommBank, Halifax, Lloys, dan Santander . Menggunakan algoritma pembuatan domain (DGA) untuk menghindari deteksi dan penghapusan.
Coper – Menargetkan BBVA, Caixa Bank, CommBank, dan Santander. Ini secara aktif memantau “daftar yang diizinkan” pengoptimalan baterai perangkat dan memodifikasinya untuk membebaskan diri dari pembatasan.
EventBot – Menargetkan Barclays, Intensa, BancoPosta, dan berbagai aplikasi Italia lainnya. Itu bersembunyi sebagai Microsoft Word atau Adobe Flash, dan dapat mengunduh modul malware baru dari sumber jarak jauh.
Exobot – Menargetkan PayPal, Binance, Aplikasi Tunai, Barclays, BBVA, dan CaixaBank. Ini sangat kecil dan ringan karena menggunakan pustaka sistem bersama dan mengambil overlay dari C2 hanya jika diperlukan.
FluBot – BBVA, Caixa, Santander, dan berbagai aplikasi Spanyol lainnya yang ditargetkan. Trojan botnet terkenal karena distribusinya yang cepat menggunakan SMS dan daftar kontak perangkat yang disusupi.
Medusa – Menargetkan BBVA, CaixaBank, Ziraat, dan berbagai aplikasi bank Turki. Itu dapat melakukan penipuan pada perangkat dengan menyalahgunakan layanan aksesibilitas untuk bertindak sebagai pengguna biasa atas nama korban.
Sharkbot – Menargetkan Binance, BBVA, dan Coinbase. Ini menampilkan serangkaian kemampuan penghindaran deteksi dan anti-penghapusan yang kaya, serta enkripsi komunikasi C2 yang kuat.
Teabot – Menargetkan PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, dan Coinbase. Ini fitur keylogger khusus untuk setiap aplikasi, dan memuatnya ketika pengguna meluncurkannya.
Xenomorph – Menargetkan BBVA dan berbagai aplikasi bank berbasis UE. Itu juga dapat berfungsi sebagai penetes untuk mengambil malware tambahan pada perangkat yang disusupi.
Seperti menjadi jelas dari atas, masing-masing dari sepuluh trojan perbankan paling produktif mempertahankan cakupan penargetan yang relatif sempit, sehingga ekosistem seimbang dan operator dapat memilih alat yang cocok dengan audiens target mereka.

Untuk melindungi dari semua ancaman ini, perbarui perangkat Anda, hanya instal aplikasi dari Google Play Store, periksa ulasan pengguna, kunjungi situs pengembang, dan pertahankan jumlah aplikasi yang diinstal di perangkat Anda seminimal mungkin.

Sumber: Bleeping Computer

Trojan perbankan SharkBot ditemukan di aplikasi antivirus Play Store

by

Trojan perbankan akses jarak jauh, SharkBot, pertama kali terlihat pada Oktober 2021. Peneliti keamanan di Cleafy menemukannya dan menyimpulkan bahwa itu adalah satu-satunya, tanpa koneksi ke malware seperti TeaBot atau Xenomorph — dan memiliki beberapa fungsi yang sangat canggih dan berbahaya.

Satu, Sistem Transfer Otomatis (ATS), adalah fungsi baru di Android dan memungkinkan penyerang memindahkan uang secara otomatis dari rekening korban, tanpa perlu campur tangan manusia. Dan seperti yang ditemukan oleh peneliti keamanan TI Inggris, SharkBot yang diperbarui bersembunyi di dalam aplikasi antivirus yang tampak tidak bersalah yang masih tersedia di Google Play Store pada hari Sabtu.

Para peneliti dari NCC Group menerbitkan laporan awal pekan ini yang merinci cara kerja SharkBot dan bagaimana akhirnya melewati langkah-langkah keamanan Play Store.

Aplikasi berbahaya ini berfungsi seperti pil racun tiga lapis, dengan satu lapisan menyamar sebagai antivirus dan lapisan kedua sebagai versi SharkBot yang diperkecil yang kemudian diperbarui dengan mengunduh versi malware yang sepenuhnya berbahaya. Saat itulah ia bekerja menggunakan berbagai taktik untuk menjarah rekening bank korban.

Menurut NCC, SharkBot dapat melakukan “serangan overlay” saat mendeteksi aplikasi perbankan yang aktif. SharkBot memunculkan layar yang terlihat seperti bank yang dimaksud, bersiap untuk mendapatkan kredensial login yang Anda berikan. Malware ini bahkan dapat membajak notifikasi yang masuk dan mengirimkan pesan yang berasal dari perintah dan kontrol penyerang. Pada akhirnya, SharkBot dapat menggunakan metode ini untuk mengambil alih smartphone Android sepenuhnya.

Untungnya, aplikasi berbahaya ini belum menyebar lebih dari 1.000 unduhan — sejauh ini. Namun, jika Anda telah mengunduh “Antivirus, Super Cleaner” palsu dari Play Store, segera hapus dan pertimbangkan kemungkinan Anda perlu mereset ponsel Anda sepenuhnya.

Sumber: Android Police