Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Spyware

Spyware

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

by

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Vendor spyware bekerja dengan ISP untuk menginfeksi pengguna iOS dan Android

by

Grup Analisis Ancaman (TAG) Google hari ini mengungkapkan bahwa RCS Labs, vendor spyware Italia, telah menerima bantuan dari beberapa penyedia layanan Internet (ISP) untuk menginfeksi pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial.

RCS Labs hanyalah salah satu dari lebih dari 30 vendor spyware yang aktivitasnya saat ini dilacak oleh Google, menurut analis Google TAG Benoit Sevens dan Clement Lecigne.

Selama serangan yang menggunakan drive-by-downloads untuk menginfeksi banyak korban, target diminta untuk menginstal aplikasi berbahaya (disamarkan sebagai aplikasi operator seluler yang sah) untuk kembali online setelah koneksi internet mereka terputus dengan bantuan ISP mereka.

Jika mereka tidak dapat langsung bekerja dengan ISP target mereka, penyerang akan menyamarkan aplikasi berbahaya sebagai aplikasi perpesanan.

Mereka mendorong mereka menggunakan halaman dukungan yang dibuat-buat yang diklaim dapat membantu calon korban memulihkan akun Facebook, Instagram, atau WhatsApp mereka yang ditangguhkan.

Namun, sementara tautan Facebook dan Instagram memungkinkan mereka untuk menginstal aplikasi resmi, ketika mengklik tautan WhatsApp, mereka akhirnya akan menginstal versi berbahaya dari aplikasi WhatsApp yang sah.

Google mengatakan aplikasi berbahaya yang disebarkan pada perangkat korban tidak tersedia di Apple App Store atau Google Play. Namun, penyerang mengesampingkan versi iOS (ditandatangani dengan sertifikat perusahaan) dan meminta target untuk mengaktifkan penginstalan aplikasi dari sumber yang tidak dikenal.

Aplikasi iOS yang terlihat dalam serangan ini datang dengan beberapa eksploitasi bawaan yang memungkinkannya untuk meningkatkan hak istimewa pada perangkat yang disusupi dan mencuri file.

Secara keseluruhan, ia menggabungkan enam eksploitasi berbeda:

  • CVE-2018-4344 secara internal disebut dan dikenal publik sebagai LightSpeed.
  • CVE-2019-8605 secara internal disebut sebagai SockPort2 dan secara publik dikenal sebagai SockPuppet
  • CVE-2020-3837 secara internal disebut dan dikenal publik sebagai TimeWaste.
  • CVE-2020-9907 secara internal disebut sebagai AveCesare.
  • CVE-2021-30883 secara internal disebut sebagai Clicked2, ditandai sebagai dieksploitasi di alam liar oleh Apple pada Oktober 2021.
  • CVE-2021-30983 secara internal disebut sebagai Clicked3, diperbaiki oleh Apple pada Desember 2021.

Di sisi lain, aplikasi Android berbahaya datang tanpa eksploitasi yang dibundel. Namun, itu menampilkan kemampuan yang memungkinkannya mengunduh dan menjalankan modul tambahan menggunakan DexClassLoader API.

Google telah memperingatkan korban Android bahwa perangkat mereka diretas dan terinfeksi spyware, yang dijuluki Hermit oleh peneliti keamanan di Lookout dalam analisis rinci implan ini yang diterbitkan minggu lalu.

Menurut Lookout, Hermit adalah “perangkat pengawasan modular” yang “dapat merekam audio dan membuat dan mengalihkan panggilan telepon, serta mengumpulkan data seperti log panggilan, kontak, foto, lokasi perangkat, dan pesan SMS.”

Google juga telah menonaktifkan proyek Firebase yang digunakan oleh pelaku ancaman untuk menyiapkan infrastruktur perintah-dan-kontrol untuk kampanye ini.

Pada bulan Mei, Google TAG mengekspos kampanye lain di mana aktor ancaman yang didukung negara menggunakan lima kelemahan keamanan zero-day untuk menginstal spyware Predator yang dikembangkan oleh pengembang pengawasan komersial Cytrox.

Sumber: Bleeping Computer

Eksploitasi iPhone tanpa klik yang digunakan dalam serangan spyware NSO

by

Peneliti ancaman digital di Citizen Lab telah menemukan eksploitasi iMessage tanpa klik baru yang digunakan untuk menginstal spyware NSO Group di iPhone milik politisi, jurnalis, dan aktivis Catalan.

Cacat keamanan zero-click iOS yang sebelumnya tidak dikenal yang dijuluki HOMAGE memengaruhi beberapa versi sebelum iOS 13.2 (versi iOS stabil terbaru adalah 15.4).

Itu digunakan dalam kampanye yang menargetkan setidaknya 65 orang dengan spyware Pegasus NSO antara 2017 dan 2020, bersama dengan eksploitasi Kismet iMessage dan kelemahan WhatsApp.

Di antara para korban serangan ini, Citizen Lab menyebut Anggota Parlemen Eropa Catalan (MEP), setiap presiden Catalan sejak 2010, serta legislator Catalan, ahli hukum, jurnalis, dan anggota organisasi masyarakat sipil dan keluarga mereka.

Laboratorium penelitian akademis telah melaporkan dan memberi Apple artefak forensik yang diperlukan untuk menyelidiki eksploitasi dan mengatakan tidak ada bukti bahwa pelanggan Apple yang menggunakan versi iOS terbaru terkena serangan HOMAGE.

Seperti yang dilaporkan Reuters, spyware NSO juga digunakan dalam serangan yang menargetkan pejabat senior Komisi Eropa tahun lalu, termasuk Komisioner Keadilan Eropa.

Menurut Direktur Citizen Lab Ron Deibert, beberapa dugaan infeksi dengan spyware Pegasus dalam jaringan resmi Inggris juga dilaporkan oleh Citizen Lab kepada pemerintah Inggris.

Infeksi yang dicurigai pada perangkat milik pejabat di Kantor Perdana Menteri dikaitkan dengan operator Pegasus yang terkait dengan UEA, sementara serangan yang berkaitan dengan Kantor Luar Negeri dan Persemakmuran Inggris terkait dengan UEA, India, Siprus, dan Yordania.

Kementerian Luar Negeri Finlandia mengatakan pada Januari bahwa perangkat diplomat Finlandia telah terinfeksi spyware Pegasus NSO Group setelah pegawai Departemen Luar Negeri AS juga menemukan bahwa iPhone mereka telah diretas untuk memasang spyware yang sama.

Parlemen Eropa sedang membentuk komite penyelidikan (yang akan mengadakan pertemuan pertamanya pada 19 April) untuk menyelidiki pelanggaran hukum Uni Eropa yang berasal dari penggunaan NSO Pegasus dan spyware yang setara.

Pegasus, alat spyware yang dikembangkan oleh perusahaan pengawasan Israel NSO Group, dipasarkan sebagai perangkat lunak pengawasan yang dilisensikan kepada pemerintah di seluruh dunia untuk “menyelidiki kejahatan dan teror.”

“Spyware diam-diam menembus ponsel (dan perangkat lain) dan mampu membaca teks, mendengarkan panggilan, mengumpulkan kata sandi, melacak lokasi, mengakses mikrofon dan kamera perangkat target, dan mengumpulkan informasi dari aplikasi,” Citizen Labs menjelaskan.

“Panggilan dan obrolan terenkripsi juga dapat dipantau. Teknologi ini bahkan dapat mempertahankan akses ke akun cloud korban setelah infeksi berakhir.”

Sumber : Bleeping Computer

Hp Android kamu bisa jadi ada stalkerware, ini cara menghilangkannya

by

kerentanan keamanan di salah satu operasi spyware tingkat konsumen terbesar saat ini membahayakan data telepon pribadi sekitar 400.000 orang, jumlah yang terus bertambah setiap hari. Operasi, yang diidentifikasi oleh TechCrunch, dijalankan oleh sekelompok kecil pengembang di Vietnam tetapi belum memperbaiki masalah keamanan.

Aplikasi spyware tingkat konsumen sering dijual dengan kedok perangkat lunak pelacakan anak tetapi juga dikenal sebagai “penguntit” karena kemampuannya untuk melacak dan memantau pasangan atau pasangan tanpa persetujuan mereka. Aplikasi ini diunduh dari luar toko aplikasi Google Play, ditanam di ponsel tanpa izin dan dirancang untuk menghilang dari layar beranda untuk menghindari deteksi. Anda mungkin melihat ponsel Anda bertindak tidak biasa, atau berjalan lebih hangat atau lebih lambat dari biasanya, bahkan saat Anda tidak menggunakannya secara aktif.

Karena armada aplikasi penguntit ini mengandalkan penyalahgunaan fitur bawaan Android yang lebih umum digunakan oleh pemberi kerja untuk mengelola telepon kantor karyawan mereka dari jarak jauh, pemeriksaan untuk melihat apakah perangkat Android Anda disusupi dapat dilakukan dengan cepat dan mudah.

Panduan dibawah ini hanya akan menghapus aplikasi spyware, tidak menghapus data yang telah dikumpulkan dan diunggah ke servernya. Selain itu, beberapa versi Android mungkin memiliki opsi menu yang sedikit berbeda.

Periksa setelan Google Play Protect Anda

Google Play Protect adalah salah satu perlindungan terbaik untuk melindungi dari aplikasi Android berbahaya, baik pihak ketiga maupun di app store. Tetapi ketika dimatikan, perlindungan tersebut berhenti, dan stalkerware atau malware dapat diinstal pada perangkat di luar Google Play.

Periksa apakah layanan aksesibilitas telah dirusak
Jika Anda tidak mengenali layanan yang diunduh di opsi Aksesibilitas, Anda mungkin ingin menghapusnya. Banyak aplikasi penguntit disamarkan sebagai aplikasi biasa yang disebut “Aksesibilitas” atau “Kesehatan Perangkat”.

Spyware Android sering menyalahgunakan fitur aksesibilitas bawaan. Kredit Gambar: TechCrunch

Periksa apakah aplikasi admin perangkat telah diinstal
Opsi admin perangkat memiliki akses yang serupa tetapi bahkan lebih luas ke Android sebagai fitur aksesibilitas. Opsi admin perangkat ini dirancang untuk digunakan oleh perusahaan untuk mengelola ponsel karyawan dari jarak jauh, menonaktifkan fitur, dan menghapus data untuk mencegah kehilangan data. Tetapi mereka juga mengizinkan aplikasi penguntit untuk merekam layar dan mengintai pemilik perangkat.

Item yang tidak dikenal di pengaturan aplikasi admin perangkat Anda adalah indikator umum dari penyusupan telepon. Kredit Gambar: TechCrunch

Periksa aplikasi yang akan dicopot pemasangannya
Buka pengaturan Android Anda, lalu lihat aplikasi Anda. Cari aplikasi yang tidak berbahaya seperti “Device Health” atau “System Service”, dengan ikon yang tampak umum. Aplikasi ini akan memiliki akses luas ke kalender, log panggilan, kamera, kontak, dan lokasi Anda.

Aplikasi spyware sering kali memiliki ikon yang tampak umum. Kredit Gambar: TechCrunch

Jika Anda melihat aplikasi di sini yang tidak Anda kenali atau belum Anda instal, Anda dapat menekan Uninstall. Perhatikan bahwa ini kemungkinan akan mengingatkan orang yang menanam stalkerware bahwa aplikasi tersebut tidak lagi diinstal.

Amankan ponsel Anda
Jika stalkerware ditanam di ponsel Anda, ada kemungkinan besar ponsel Anda tidak terkunci, tidak terlindungi, atau kunci layar Anda dapat ditebak atau dipelajari. Kata sandi layar kunci yang lebih kuat dapat membantu melindungi ponsel Anda dari calon penguntit. Anda juga harus melindungi email dan akun online lainnya menggunakan otentikasi dua faktor jika memungkinkan.

Sumber : TechCrunch

Spyware ‘anomali’ mencuri kredensial di perusahaan industri

by

Para peneliti telah menemukan beberapa kampanye spyware yang menargetkan perusahaan industri, yang bertujuan untuk mencuri kredensial akun email dan melakukan penipuan keuangan atau menjualnya kembali kepada aktor lain.

Para aktor menggunakan alat spyware yang tersedia tetapi hanya menggunakan setiap varian untuk waktu yang sangat terbatas untuk menghindari deteksi.

Contoh malware yang digunakan dalam serangan termasuk AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult, dan Lokibot.

Serangan spyware ini disebut ‘anomali’ karena sifatnya yang berumur sangat pendek yaitu sekitar 25 hari, sedangkan sebagian besar kampanye spyware berlangsung selama beberapa bulan atau bahkan bertahun-tahun.

Durasi serangan dibandingkan dengan statistik dari semua deteksi
Sumber: Kaspersky

Jumlah sistem yang diserang dalam kampanye ini selalu di bawah seratus, setengahnya adalah mesin ICS (sistem komputer terintegrasi) yang digunakan di lingkungan industri.

Elemen lain yang tidak biasa adalah menggunakan protokol komunikasi berbasis SMTP untuk mengekstrak data ke server C2 yang dikendalikan aktor.

SMTP adalah saluran satu arah yang hanya melayani pencurian data, SMTP berkembang melalui kesederhanaan dan kemampuannya untuk berbaur dengan lalu lintas jaringan biasa.

Mencuri kredensial untuk melanjutkan infiltrasi
Para aktor menggunakan kredensial karyawan curian yang mereka peroleh melalui spear-phishing untuk menyusup lebih dalam dan bergerak secara lateral di jaringan perusahaan.

Selain itu, mereka menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru, membuat deteksi dan penandaan korespondensi internal berbahaya menjadi sangat menantang.

diagram operasional
Sumber: Kaspersky

Dalam hal jumlah, para analis mengidentifikasi setidaknya 2.000 akun email perusahaan yang disalahgunakan sebagai server C2 sementara dan 7.000 akun email lainnya disalahgunakan dengan cara lain.

Menjual di pasar Darkweb
Banyak kredensial akun RDP, SMTP, SSH, cPanel, dan VPN email yang dicuri dalam kampanye ini diposting di pasar web gelap dan akhirnya dijual ke pelaku ancaman lainnya.

Menurut analisis statistik Kaspersky, sekitar 3,9% dari semua akun RDP yang dijual di pasar ilegal ini adalah milik perusahaan industri.

Akun RDP (protokol desktop jarak jauh) sangat berharga bagi penjahat dunia maya karena memungkinkan mereka mengakses mesin yang disusupi dari jarak jauh dan berinteraksi langsung dengan perangkat tanpa menimbulkan tanda bahaya.

Sumber : Bleeping Computer

Varian Baru Spyware Android Menargetkan Pengguna Di Timur Tengah

by

Perusahaan perangkat lunak dan perangkat keras keamanan Inggris Sophos baru-baru ini mengungkapkan bahwa varian baru spyware Android yang digunakan oleh grup C-23 secara aktif menargetkan pengguna di Timur Tengah.

C-23, juga dikenal sebagai GnatSpy, FrozenCell, atau VAMP, adalah apa yang oleh para profesional keamanan siber disebut sebagai musuh ancaman persisten tingkat lanjut (advanced persistent threat/APT). Musuh semacam itu biasanya didanai dengan baik dan terorganisir dengan baik, yang memungkinkan mereka untuk dengan cepat mengembangkan taktik mereka untuk mengatasi pertahanan keamanan siber yang paling canggih sekalipun.

Grup C-23 telah dikenal karena menargetkan individu di Timur Tengah setidaknya sejak 2017, dengan fokus khusus pada wilayah Palestina.

Varian terbaru dari spyware Android-nya kemungkinan besar didistribusikan melalui tautan unduhan yang dikirim ke korban sebagai pesan teks. Tautan mengarah ke aplikasi jahat yang berpura-pura memasang pembaruan yang sah di perangkat seluler korban.

Saat aplikasi diluncurkan untuk pertama kalinya, ia meminta sejumlah izin yang memungkinkannya memata-matai korban. Kemudian menyamarkan dirinya untuk membuat penghapusan lebih sulit.

Informasi yang dapat dicuri spyware baru mencakup semuanya, mulai dari pesan teks hingga nama aplikasi yang diinstal hingga kontak dari semua jenis aplikasi, termasuk Facebook dan WhatsApp. Spyware bahkan dapat mengabaikan pemberitahuan dan mengaktifkan pengaturan “Jangan Ganggu”.

Sophos merekomendasikan pengguna Android untuk tidak pernah menginstal aplikasi dari sumber yang tidak tepercaya dan menghindari untuk mengabaikan pembaruan OS dan aplikasi yang tersedia.

Selengkapnya: Tech Magazine

PhoneSpy: Kampanye spyware Android yang menargetkan pengguna Korea Selatan

by

Kampanye spyware yang dijuluki ‘PhoneSpy’ menargetkan pengguna Korea Selatan melalui berbagai aplikasi gaya hidup yang bersarang di perangkat dan mengekstrak data secara diam-diam. Kampanye ini menyebarkan malware Android yang kuat yang mampu mencuri informasi sensitif dari pengguna dan mengambil alih mikrofon dan kamera perangkat.

Zimperium mengidentifikasi 23 aplikasi bertali yang muncul sebagai aplikasi gaya hidup yang tidak berbahaya, tetapi di latar belakang, aplikasi tersebut berjalan sepanjang waktu, diam-diam memata-matai pengguna.

Aplikasi meminta korban untuk memberikan banyak izin saat penginstalan, yang merupakan satu-satunya tahap di mana pengguna yang berhati-hati akan melihat tanda-tanda masalah.

Spyware yang bersembunyi tersebut dapat melakukan hal berikut :

  • Ambil daftar lengkap aplikasi yang diinstal
  • Copot pemasangan aplikasi apa pun di perangkat
  • Instal aplikasi dengan mengunduh APK dari tautan yang disediakan oleh C2
  • Curi kredensial menggunakan URL phishing yang dikirim oleh C2
  • Mencuri gambar (dari memori internal dan kartu SD)

    • untuk daftar selengkapnya klik sumber : Bleeping Computer

Spektrum data yang dicuri mendukung hampir semua aktivitas jahat, mulai dari memata-matai hingga melakukan spionase dunia maya perusahaan dan memeras orang.

Selain itu beberapa aplikasi juga secara aktif mencoba mencuri kredensial orang dengan menampilkan halaman login palsu untuk berbagai situs. Template phishing yang digunakan dalam kampanye PhoneSpy meniru portal masuk akun Facebook, Instagram, Kakao, dan akun Google.

Saluran distribusi awal untuk aplikasi yang dicampur tidak diketahui, dan pelaku ancaman tidak mengunggah aplikasi ke Google Play Store. Itu dapat didistribusikan melalui situs web, toko APK pihak yang tidak jelas, media sosial, forum, atau bahkan webhard dan torrent.

Menggunakan teks SMS meningkatkan kemungkinan penerima mengetuk tautan yang mengarah untuk mengunduh aplikasi yang dicampur karena berasal dari orang yang mereka kenal dan percayai.

Selengkpanya : Bleeping Computer

Amnesty International menghubungkan perusahaan keamanan siber dengan operasi spyware

by

Sebuah laporan oleh Amnesty International menghubungkan perusahaan keamanan siber India dengan program spyware Android yang digunakan untuk menargetkan aktivis terkemuka.

Penyelidikan berasal dari tim Amnesty International, yang mengkonfirmasi kasus spionase terhadap seorang aktivis Togo dan juga mengamati tanda-tanda penyebaran spyware di beberapa wilayah utama Asia.

Menurut Amnesty International, spyware Android telah dikaitkan dengan perusahaan keamanan siber India Innefu Labs setelah alamat IP milik perusahaan itu berulang kali digunakan untuk distribusi muatan spyware.

Namun, deployment yang sebenarnya bisa menjadi pekerjaan ‘Tim Donot’ (APT-C-35), sekelompok peretas India yang telah menargetkan pemerintah di Asia Tenggara setidaknya sejak 2018.

Amnesty mencatat bahwa mungkin saja Innefu tidak mengetahui bagaimana pelanggannya atau pihak ketiga lainnya menggunakan alatnya. Namun, audit eksternal dapat mengungkapkan semuanya setelah detail teknis lengkap terungkap.

Serangan terhadap para aktivis dimulai dengan pesan yang tidak diminta melalui WhatsApp, menyarankan instalasi aplikasi obrolan yang seharusnya aman bernama ‘ChatLite’.

Dalam kasus ChatLite, ini adalah spyware aplikasi Android yang dikembangkan khusus yang memungkinkan penyerang mengumpulkan data sensitif dari perangkat dan mengunduh alat malware tambahan.

Untuk spyware yang didistribusikan melalui dokumen Word berbahaya, ia memiliki kemampuan berikut:

  • Merekam penekanan tombol
  • Mengambil tangkapan layar secara teratur
  • Mencuri file dari penyimpanan lokal dan yang dapat dilepas
  • Mengunduh modul spyware tambahan

Dengan menganalisis sampel spyware Android, penyelidik Amnesty menemukan beberapa kesamaan dengan “Kashmir_Voice_v4.8.apk” dan “SafeShareV67.apk”, dua alat malware yang terkait dengan operasi Tim Donot sebelumnya.

Kesalahan opsec aktor ancaman memungkinkan penyelidik untuk menemukan server “pengujian” di AS tempat aktor ancaman menyimpan tangkapan layar dan data keylogging dari ponsel Android yang disusupi.

Di sinilah Amnesty pertama kali melihat alamat IP Innefu Labs, karena jika tidak, sumber sebenarnya bersembunyi di balik VPN.

Selengkapnya: Bleeping Computer