Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Spyware

Spyware

Lebih dari 400 juta Terinfeksi Spyware Android — Hapus Aplikasi Ini Sekarang!

by

Lebih dari 100 aplikasi Android dengan gabungan lebih dari 400 juta unduhan telah terinfeksi oleh jenis malware baru yang didistribusikan sebagai kit pengembangan perangkat lunak (SDK) untuk pengiklan.

Penemuan itu dilakukan oleh peneliti keamanan di Dr.Web yang menemukan modul spyware di dalam aplikasi yang terpengaruh yang mereka namai ‘SpinOk’.

Disebut spyware karena malware tersebut dapat mencuri data pribadi yang disimpan di ponsel Android terbaik dan mengirimkannya ke server jarak jauh yang dikendalikan oleh peretas di balik kampanye ini.

Pengembang aplikasi kemungkinan menambahkan modul SpinOk ke aplikasi mereka, karena tampaknya sah dan menggunakan minigame untuk memberi pengguna “hadiah harian” untuk membuat mereka tetap tertarik.

Sayangnya, SpinOk melakukan sejumlah aktivitas jahat di latar belakang saat memeriksa data sensor perangkat Android.

Berdasarkan laporan Dr.Web, pembuat virus mengklaim telah menemukan 101 aplikasi yang diunduh lebih dari 421 juta kali dari Google Play Store. Di bawah, Anda akan menemukan aplikasi yang terpengaruh dengan unduhan terbanyak, antara lain:
– Noizz dan Zapya – File Transfer, Share dengan 100 juta unduhan.
– vFly, MVBit, dan Biugo dengan 50 juta unduhan.
– Crazy Drop, Cashzine, dan Fizzo Novel dengan 10 juta unduhan.
– CashEM dan Tick dengan 5 juta unduhan.

Pengguna disarankan untuk segera menghapus aplikasi-aplikasi tersebut, meskipun sebagian besar aplikasi yang terpengaruh telah dihapus dari Play Store, belum semuanya.

SpinOk mampu melakukan sejumlah aktivitas jahat di latar belakang yang mencakup daftar file di direktori, mencari file tertentu, mengunggah file dari smartphone yang terinfeksi atau menyalin dan mengganti konten dari clipboard.

Masih belum jelas apakah penerbit aplikasi Android ini ditipu oleh distributor SDK trojan atau sengaja memasukkannya ke dalam aplikasi mereka. Seperti yang dicatat oleh BleepingComputer, jenis infeksi ini seringkali merupakan hasil dari serangan rantai pasokan dari pihak ketiga.

Agar tetap aman dari aplikasi yang buruk, pengguna harus berhati-hati saat mengunduh aplikasi baru meskipun berasal dari Google Play Store, mencoba untuk mencari ulasan eksternal, terutama ulasan video, perhatikan izin yang diperlukan aplikasi, dan sebagai perlindungan tambahan, pertimbangkan untuk menginstal salah satu aplikasi antivirus Android terbaik.

Selengkapnya: tom’s guide

Spyware Ditemukan dalam Aplikasi Google Play dengan Lebih dari 420 Juta Unduhan

by

Perusahaan antivirus Doctor Web telah mengidentifikasi adanya spyware dalam lebih dari 100 aplikasi Android yang telah diunduh lebih dari 421 juta kali di Google Play.

Modul berbahaya ini, yang diberi nama ‘SpinOk’ oleh Doctor Web, didistribusikan sebagai SDK pemasaran. Pada perangkat korban, spyware ini dapat mengumpulkan informasi tentang file, mengirim file ke para penyerang, dan mencuri konten clipboard.

Modul SpinOk menawarkan mini game, tugas, dan hadiah yang diduga untuk menjaga minat pengguna terhadap aplikasi tersebut.

Setelah dieksekusi, SDK ini terhubung ke server komando dan kontrol (C&C) dan mengirimkan sejumlah besar informasi perangkat, termasuk data dari sensor yang memungkinkannya mendeteksi lingkungan emulator. Respons dari server berisi banyak URL yang digunakan untuk menampilkan spanduk iklan melalui WebView.

Selain itu, modul ini dapat mengumpulkan daftar file dalam direktori yang ditentukan, memeriksa keberadaan file dan direktori tertentu, mengunggah file dari perangkat, serta menyalin atau mengganti konten clipboard.

“Ini memungkinkan operator modul trojan untuk memperoleh informasi dan file rahasia dari perangkat pengguna—misalnya, file yang dapat diakses oleh aplikasi yang memiliki Android.Spy.SpinOk di dalamnya. Untuk itu, para penyerang perlu menambahkan kode yang sesuai ke dalam halaman HTML spanduk iklan,” jelas Doctor Web.

Modul berbahaya dan modifikasinya telah diidentifikasi dalam total 101 aplikasi di Google Play. Google telah diberi tahu dan telah menghapus beberapa aplikasi tersebut. Dalam beberapa kasus, hanya versi tertentu yang mengandung SDK berbahaya tersebut.

Beberapa aplikasi paling populer yang mengandung modul berbahaya ini termasuk Noizz (lebih dari 100 juta instalasi), Zapya (lebih dari 100 juta instalasi—kode tersebut ada dalam versi 6.3.3 hingga 6.4), VFly (lebih dari 50 juta unduhan), MVBit (lebih dari 50 juta instalasi), dan Biugo (lebih dari 50 juta unduhan). Doctor Web telah mempublikasikan daftar lengkap aplikasi yang terinfeksi.

Selengkapnya: Security Week

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

by

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Lookout Menemukan ‘BouldSpy’, Android Spyware Terkait dengan Polisi Iran yang Menargetkan Minoritas

by

Para peneliti di Lookout Threat Lab telah menemukan alat pengawasan Android baru yang penulis kaitkan dengan keyakinan sedang kepada Komando Penegakan Hukum Republik Islam Iran (FARAJA).

Spyware BouldSpy untuk kelas “BoulderApplication” yang mengonfigurasi perintah dan kontrol alat (C2), telah dilacak sejak Maret 2020. Mulai tahun 2023, malware tersebut telah menarik perhatian peneliti keamanan di Twitter dan oleh orang lain dalam ancaman tersebut.

Komunitas intelijen mencirikannya sebagai botnet Android dan ransomware. Sementara BouldSpy menyertakan kode ransomware, peneliti Lookout menilai bahwa itu tidak digunakan dan tidak berfungsi, tetapi dapat menunjukkan pengembangan yang sedang berlangsung atau upaya penyesatan dari pihak aktor.

Berdasarkan analisis kami terhadap data yang dieksfiltrasi dari server C2 untuk spyware, BouldSpy telah mengorbankan lebih dari 300 orang, termasuk kelompok minoritas seperti Kurdi Iran, Baluchis, Azeri, dan kemungkinan kelompok Kristen Armenia.

Bukti yang dikumpulkan menyiratkan bahwa spyware mungkin juga telah digunakan dalam upaya melawan dan memantau aktivitas perdagangan ilegal yang berkaitan dengan senjata, narkoba, dan alkohol.

Penulis meyakini bahwa FARAJA menggunakan akses fisik ke perangkat untuk menginstal BouldSpy guna memantau target lebih jauh saat dirilis.

Spyware ‘BouldSpy’ mewakili alat pengawasan lain yang memanfaatkan sifat pribadi perangkat seluler.

Beberapa aplikasi yang ditiru oleh BouldSpy termasuk CPU-Z, alat perbandingan CPU seluler, Konverter Mata Uang Pro, kalkulator bunga berbahasa Persia, dan aplikasi Fake Call.

Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon
Ikon aplikasi yang terkait dengan varian BouldSpy, dari kiri ke kanan: CPU-Z, Interest Calculator, Currency Converter Pro, Fake Call, Call Service, Psiphon

Kemampuan penting dari BouldSpy adalah dapat merekam panggilan suara melalui beberapa aplikasi Voice over IP (VoIP) serta aplikasi ponsel Android standar, termasuk WhatsApp, Kakao, LINE, Telegram VoIP, Microsoft Office 365 VoIP functionality, Skype, Slack VoIP, WeChat, dan lainnya.

Selengkapnya: Lookout

Perintah Biden terhadap spyware komersial ‘mengecewakan pasar’

by

Perintah eksekutif Presiden Biden baru-baru ini yang menargetkan penggunaan spyware komersial menimbulkan ancaman serius bagi industri pengawasan digital, kata para ahli, karena beberapa perusahaan mempertimbangkan dampak keputusan tersebut terhadap bisnis mereka.

Perintah tersebut, yang dirilis bulan lalu, melarang semua agen federal AS menggunakan atau membeli spyware komersial yang dapat menimbulkan risiko keamanan nasional atau menargetkan personel AS.

Ini secara khusus melarang penggunaan spyware komersial yang digunakan oleh pemerintah asing atau orang asing untuk mencoba mengakses perangkat elektronik pemerintah.

Itu juga melarang spyware yang menggunakan data yang diperoleh tanpa izin dari pemerintah, bermaksud untuk mengungkapkan informasi non-publik tentang pemerintah dan aktivitasnya, atau berada di bawah kendali efektif pemerintah asing.

James Lewis, wakil presiden senior dan direktur program teknologi strategis di Pusat Studi Strategis dan Internasional, mengatakan bahwa perintah tersebut “mengecewakan pasar” karena beberapa pembuat spyware telah menyuarakan keprihatinan mereka tentang dampak tindakan Biden terhadap industri. .

“Beberapa dari mereka mengatakan kepada saya bahwa mereka tidak yakin akan dapat bertahan dalam bisnis,” kata Lewis.

Perintah tersebut pada dasarnya menutup pasar untuk vendor spyware tertentu dan membatasi akses mereka ke AS.

“AS adalah salah satu pasar teknologi terbesar dan paling dicari,” kata Michael De Dora, juru kampanye senior AS di Access Now, sebuah kelompok advokasi hak digital nirlaba.

Selengkapnya: THE HILL

CISA Memerintahkan Lembaga untuk Menambal Bug yang Dieksploitasi untuk Menghilangkan Spyware

by

Cybersecurity and Infrastructure Security Agency (CISA) memerintahkan agen federal untuk menambal kerentanan keamanan yang dieksploitasi sebagai zero-days dalam serangan baru-baru ini untuk memasang spyware komersial di perangkat seluler.

Cacat tersebut disalahgunakan sebagai bagian dari beberapa rantai eksploitasi dalam dua kampanye terpisah yang menargetkan pengguna Android dan iOS, seperti yang baru-baru ini diungkapkan oleh Grup Analisis Ancaman (TAG) Google.

Terlihat bahwa pelaku ancaman menggunakan rantai eksploitasi terpisah untuk mengkompromikan perangkat iOS dan Android pada serangan pertama November 2022.

Sebulan kemudian, rantai kompleks beberapa zero-day dan n-day dieksploitasi untuk menargetkan ponsel Android Samsung yang menjalankan versi Browser Internet Samsung terbaru.

Muatan akhir adalah paket spyware untuk Android yang mampu mendekripsi dan mengekstraksi data dari berbagai aplikasi obrolan dan browser.

Kedua kampanye tersebut sangat ditargetkan, dan penyerang “mengambil keuntungan dari jeda waktu yang besar antara rilis perbaikan dan saat itu diterapkan sepenuhnya pada perangkat pengguna akhir,” menurut Clément Lecigne dari Google TAG.

Penemuan Google TAG didorong oleh temuan yang dibagikan oleh Lab Keamanan Amnesty International, yang juga menerbitkan rincian mengenai domain dan infrastruktur yang digunakan dalam serangan tersebut.

CISA hari ini menambahkan lima dari sepuluh kerentanan yang digunakan dalam dua kampanye spyware ke dalam katalog Known Exploited Vulnerabilities (KEV) antara lain CVE-2021-30900, CVE-2022-38181, CVE-2023-0266, CVE-2022-3038, dan CVE-2022-22706.

Badan keamanan siber memberikan waktu tiga minggu hingga 20 April kepada badan-badan Federal Civilian Executive Branch Agencies (FCEB) untuk menambal perangkat seluler yang rentan terhadap serangan potensial yang akan menargetkan lima kelemahan tersebut.

Selengkapnya: BleepingComputer

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

by

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer

Jaksa Agung New York memerintahkan pembuat Stalkerware memberitahu Korban yang Diretas

by

Pembuat spyware yang berbasis di New York telah setuju untuk memberi tahu individu yang ponselnya disusupi oleh perangkat lunak pengawasan selulernya, menyusul kesepakatan dengan kantor jaksa agung New York yang diumumkan Kamis.

Berdasarkan perjanjian tersebut, Patrick Hinchy, yang 16 perusahaannya mempromosikan aplikasi seperti PhoneSpector dan Highster, juga akan membayar denda sipil sebesar $410.000 karena secara ilegal mempromosikan perangkat lunak pengawasan seluler yang memungkinkan pelanggannya memata-matai ponsel orang lain tanpa sepengetahuan mereka.

Aplikasi yang dijual oleh Hinchy memungkinkan pelanggannya untuk memantau ponsel korban secara diam-diam dan mengakses data perangkat mereka, termasuk pesan teks dan email, foto, riwayat penelusuran, dan data lokasi yang tepat.

Hinchy menggunakan konsorsium perusahaannya untuk “secara agresif mempromosikan” aplikasi penguntitnya. Kantor James juga menuduh perusahaan Hinchy gagal mengungkapkan bahwa pelanggan harus melakukan jailbreak perangkat korban sebelum mereka dapat menanam stalkerware.

Belum diketahui pasti berapa banyak pengguna yang terjerat oleh PhoneSpector, Highster, dan aplikasi stalkerware lainnya.

Selengkapnya: Tech Crunchh