Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Spyware

Spyware

Peretas Pro-India menggunakan spyware Android untuk memata-matai militer Pakistan

by

Minggu ini sebuah laporan telah mengungkapkan rincian tentang dua jenis spyware Android yang dimanfaatkan oleh aktor ancaman yang disponsori negara selama konflik India-Pakistan.

Strain malware bernama Hornbill dan SunBird telah dikirimkan sebagai aplikasi Android palsu (APK) oleh Confucius kelompok ancaman persisten tingkat lanjut (APT), sebuah operasi yang disponsori negara pro-India yang diketahui memata-matai target Pakistan dan Asia Selatan, setidaknya sejak 2013.

Meskipun Confucius telah membuat malware Windows di masa lalu, grup tersebut telah memperluas kemampuannya ke malware seluler sejak 2017 ketika aplikasi mata-mata ChatSpy muncul.

Aplikasi Android palsu yang diterbitkan oleh grup tersebut mencakup “Google Security Framework,”, dan aplikasi dengan signifikansi regional seperti, “Kashmir News”, “Falconry Connect”, “Mania Soccer”, dan “Quran Majeed” sebagai bagian dari operasi spionase ini.

Menurut peneliti Lookout Apurva Kumar dan Kristin Del Rosso, aplikasi yang terkait dengan SunBird memiliki serangkaian kemampuan yang lebih luas daripada Hornbill dan tetap menjalankan urutan eksfiltrasi datanya secara berkala.

Para peneliti menganalisis lebih dari 18 GB data exfiltrated yang diperoleh dari enam atau lebih server C2 yang terbuka untuk umum.

Data yang bocor ini mengungkapkan target aktor negara-bangsa termasuk calon potensial untuk Komisi Energi Atom Pakistan, individu yang memiliki hubungan dekat dengan Angkatan Udara Pakistan (PAF), dan petugas pemilihan yang mengawasi proses pemilihan di distrik Pulwama di Kashmir.

Selengkapnya: Bleeping Computer

Vendor Spyware Tampaknya Membuat WhatsApp Palsu untuk Meretas Target

by

Peretas mencoba mengelabui pengguna iPhone agar memasang versi palsu WhatsApp dalam upaya potensial untuk mengumpulkan informasi tentang mereka.

Analisis teknis oleh kedua peneliti dari pengawas hak digital Citizen Lab dan Motherboard menunjukkan bahwa versi palsu WhatsApp ini memiliki kaitan dengan perusahaan pengawasan Italia, Cy4Gate.

Berita tersebut menyoroti serangan yang terkadang terabaikan pada iPhone: menipu pengguna agar menginstal file konfigurasi atau yang disebut profil Manajemen Perangkat Seluler (MDM), yang kemudian berpotensi mendorong malware ke perangkat target.

Selasa lalu, perusahaan keamanan ZecOps mengatakan dalam sebuah tweet bahwa mereka telah mendeteksi serangan terhadap pengguna WhatsApp. Perusahaan menerbitkan domain — config5-dati[.]Com — dan alamat IP yang dikatakan memiliki kaitan dengan serangan tersebut.

Kemudian Marczak dan sesama peneliti Citizen Lab Bahr Abdul Razzak melihat ke dalam domain tersebut dan menemukan sesuatu yang lain tertaut ke domain tersebut, termasuk salah satu yang menjadi host situs yang diklaim sebagai halaman untuk mengunduh WhatsApp.

Sumber: CITIZEN LAB

Marczak mengatakan file ini mengirimkan informasi ke server config1-dati, termasuk UDID, atau Pengenal Perangkat Unik yang ditetapkan ke setiap perangkat iOS oleh Apple; dan IMEI atau International Mobile Equipment Identity, kode unik lain yang mengidentifikasi sebuah ponsel.

Selengkapnya: Vice

Alat penyadap seharga $40 ditanam pada iPhone aktivis Rusia

by Leave a Comment

Sebuah perangkat kecil yang menarik ditemukan ditanam di iPhone manajer kampanye aktivis anti-korupsi Rusia Lyubov Sobol selama tahun baru. Pada 21 Desember 2020, manajer kampanye Sobol Olga Klyuchnikova ditahan oleh FSB Rusia. Dia menghabiskan seminggu di penjara atas “biaya administrasi” dan dibebaskan – tetapi ada sesuatu yang salah.

Dalam sebuah video yang dirilis minggu ini, Sobol dan rekannya menunjukkan komponen internal dari smartphone-nya, termasuk apa yang tampak seperti alat pelacak yang ditanam. Dia rupanya memperhatikan ada sesuatu yang aneh ketika iPhone-nya diberikan kepadanya setelah ditahan. Diijinkan untuk menggunakan ponsel cerdasnya sendiri selama dalam tahanan cukup aneh – tetapi perangkat mulai “terasa tidak berfungsi” hingga dia menjadi curiga.

Ini sangat mirip dengan perangkat dengan nama “TOPIN Kecil ZX620 PCB Wifi LBS GSM Tracker Positioning kartu TF”. Anda akan menemukan perangkat ini tersedia untuk dijual di tempat-tempat seperti AliExpress dengan harga sekitar $ 40 USD.

Yang menarik dari perangkat kecil ini adalah kemampuannya yang belum sempurna. Anda perlu menempatkan kartu SIM Anda sendiri di perangkat untuk mengakses internet – tetapi di luar itu, yang dibutuhkan hanyalah daya.

Di dalam smartphone, pengguna hanya perlu menghubungkan beberapa kabel dari baterai perangkat untuk menjaga perangkat tetap aktif, lalu membiarkannya bekerja. Sederhana seperti itu.

Mereka mencopot perangkat keras kartu SIM asli perangkat dan langsung menyolder kartu SIM, memberi mereka sedikit ruang ekstra.Mereka kemudian mengganti baterai tersebut dengan yang lebih kecil. Ini memberi ruang yang lebih dari cukup untuk memberi jalan bagi pelacak.

Setelah pelacak ditanam, mereka akan memiliki akses ke informasi pelacakan GPS dan kemampuan merekam suara melalui telepon. Dan tentu saja ada cara yang jauh lebih mudah untuk melakukan semua bisnis ini, jika mereka lebih paham dengan perangkat lunak. Namun bukan itu masalahnya – intinya adalah, perangkat kecil ini ada, dan mereka ada di luar sana di alam liar, untuk diakses siapa saja dengan relatif mudah.

Source : slashgear

Fitbit Spyware Mencuri Data Pribadi melalui Watch Face

by

Immersive Labs Researcher memanfaatkan kontrol privasi Fitbit yang lemah untuk membuat tampilan jam spyware yang berbahaya.

Sebuah API pembuatan aplikasi yang terbuka lebar akan memungkinkan penyerang membuat aplikasi berbahaya yang dapat mengakses data pengguna Fitbit, dan mengirimkannya ke server mana pun.

Kev Breen, direktur penelitian ancaman dunia maya untuk Immersive Labs, membuat bukti konsep untuk skenario itu, setelah menyadari bahwa perangkat Fitbit dimuat dengan data pribadi yang sensitif.

“Pada dasarnya, [API pengembang] dapat mengirimkan jenis perangkat, lokasi, dan informasi pengguna termasuk jenis kelamin, usia, tinggi, detak jantung, dan berat badan,” jelas Breen. “Itu juga bisa mengakses informasi kalender. Meskipun ini tidak termasuk data profil PII, undangan kalender dapat memperlihatkan informasi tambahan seperti nama dan lokasi.”

Upaya Breen menghasilkan tampilan jam yang berbahaya, yang kemudian dapat dia sediakan melalui Galeri Fitbit (tempat Fitbit memamerkan berbagai aplikasi pihak ketiga dan internal). Jadi, spyware tampak sah, dan meningkatkan kemungkinan diunduh.

Breen juga menemukan bahwa fetch API Fitbit memungkinkan penggunaan HTTP ke rentang IP internal, yang disalahgunakannya untuk mengubah tampilan jam berbahaya menjadi pemindai jaringan primitif.

“Dengan fungsi ini, tampilan jam kami bisa menjadi ancaman bagi perusahaan,” katanya. “Ini dapat digunakan untuk melakukan apa saja mulai dari mengidentifikasi dan mengakses router, firewall, dan perangkat lain, hingga brute-forcing password dan membaca intranet perusahaan – semuanya dari dalam aplikasi di ponsel.”

Setelah menghubungi Fitbit tentang masalah tersebut, Breen mengatakan bahwa perusahaan tersebut responsif dan berjanji untuk melakukan perubahan yang diperlukan untuk mengurangi pelanggaran di masa depan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Aplikasi Threema & Telegram palsu yang menyembunyikan spyware untuk serangan yang ditargetkan

by

Dimulai dari sampel malware yang tidak banyak diketahui, peneliti keamanan melacak spyware Android baru yang didistribusikan melalui aplikasi perpesanan palsu seperti Threema, Telegram, dan WeMessage.

Pada April 2020, peneliti keamanan MalwareHunterTeam membuat tweet tentang spyware untuk Android yang memiliki tingkat deteksi sangat rendah di VirusTotal. Memeriksa sampel, para peneliti di ESET menemukan bahwa itu adalah bagian dari malware toolkit yang digunakan oleh aktor ancaman APT-C-23.

Sekitar dua bulan kemudian, pada bulan Juni, MalwareHunterTeam menemukan sampel baru dari malware yang sama yang disembunyikan di file instalasi aplikasi olahpesan Telegram yang tersedia dari DigitalApps, toko Android tidak resmi.

Karena solusi keamanan mereka termasuk di antara beberapa yang mendeteksi spyware baru dari APT-C-23, ESET mulai menyelidiki dan menemukan bahwa malware juga disembunyikan di aplikasi lain yang terdaftar di toko.

Mereka menemukannya di Threema, platform perpesanan yang aman, dan di AndroidUpdate, aplikasi yang menyamar sebagai pembaruan sistem untuk platform seluler.

Dengan Threema dan Telegram, korban akan mendapatkan fungsionalitas penuh dari aplikasi bersama dengan malware, sehingga menyembunyikan sifat jahat dari aplikasi palsu tersebut.

ESET mengamati bahwa daftar fitur sekarang mencakup kemungkinan aplikasi untuk membungkam pemberitahuan dari aplikasi keamanan yang terintegrasi dengan perangkat dari Samsung, Xiaomi, dan Huawei, memungkinkannya untuk tetap tersembunyi bahkan jika aktivitasnya terdeteksi.

Selain itu, spyware versi baru ini dapat membaca pemberitahuan dari aplikasi perpesanan (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), secara efektif mencuri pesan masuk.

Spyware juga dapat merekam layar (video dan gambar) serta panggilan masuk dan keluar melalui WhatsApp. Itu juga dapat melakukan panggilan secara diam-diam, dengan membuat overlay layar hitam yang meniru telepon yang tidak aktif.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer

Varian Spyware Android Mengintai di WhatsApp dan Telegram

by

Para peneliti mengatakan mereka telah menemukan varian spyware Android baru dengan strategi komunikasi perintah-dan-kontrol yang diperbarui dan kemampuan pengawasan yang diperluas yang dapat mengintip aplikasi media sosial WhatsApp dan Telegram.

Malware, Android/SpyC32.A, saat ini sedang digunakan dalam kampanye aktif yang menargetkan korban di Timur Tengah oleh kelompok ancaman APT-C-23 (juga dikenal sebagai Two-Tailed Scorpion dan Desert Scorpion).

Versi yang diperbarui, Android/SpyC23.A, telah ada sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Versi terdokumentasi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk kemampuan untuk mengambil gambar, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi. Mereka akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Versi terbaru ini memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan. Spyware ini sekarang mampu merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype dan Messenger.

Untuk menghindari menjadi korban spyware, peneliti menyarankan pengguna Android untuk hanya menginstal aplikasi dari toko aplikasi Google Play resmi dan untuk memeriksa izin aplikasi.

“Pada kasus dimana privasi, masalah akses, atau batasan lain yang menghalangi pengguna untuk mengikuti saran ini, pengguna harus lebih berhati-hati saat mengunduh aplikasi dari sumber tidak resmi,” kata peneliti.

“Kami merekomendasikan untuk memeriksa pengembang aplikasi, memeriksa ulang izin yang diminta, dan menggunakan solusi keamanan seluler yang tepercaya dan mutakhir.”

Naga Cyber Defense memiliki layanan mobile protection yang dapat melindungi Anda dari spyware. Hubungi kami atau cek daftar layanan kami untuk lebih datailnya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Pengguna Mac dan Linux Ditargetkan oleh Varian Baru FinSpy

by

Spyware komersial FinSpy kembali dalam kampanye yang baru-baru ini diamati terhadap organisasi dan aktivis di Mesir.

Sementara spyware sebelumnya menargetkan pengguna Windows, iOS, dan Android, para peneliti telah menemukan kampanye ini menggunakan varian baru yang menargetkan pengguna macOS dan Linux.

FinSpy adalah rangkaian perangkat lunak pengawasan lengkap, yang memiliki kemampuan untuk mencegat komunikasi korban, mengakses data pribadi, dan merekam audio dan video, menurut Amnesty International, yang mengungkap varian baru ini. Dan telah digunakan oleh penegak hukum dan lembaga pemerintah di seluruh dunia sejak 2011.

Namun, para peneliti baru-baru ini menemukan sampel FinSpy yang belum pernah dilihat sebelumnya yang telah digunakan dalam kampanye sejak Oktober 2019. Sampel ini mencakup “Jabuka.app,” varian FinSpy untuk macOS, dan “PDF”, varian FinSpy untuk Linux. Keduanya diungkapkan kepada publik Jumat lalu untuk pertama kalinya.

Peneliti mengatakan bahwa sampel FinSpy untuk macOS “menggunakan rantai yang cukup kompleks untuk menginfeksi sistem, dan pengembang mengambil tindakan untuk memperumit analisisnya.”

Sementara muatan Linux sangat mirip dengan versi macOS, yang menurut para peneliti menunjukkan potensi basis kode bersama. Namun, launcher dan rantai infeksi disesuaikan untuk bekerja pada sistem Linux, dengan file “PDF” yang diperoleh dari server menjadi skrip pendek yang berisi binari yang dikodekan untuk Linux 32bit dan 64bit.

Varian malware untuk macOS dan Linux menyertakan modul dengan kemampuan keylogging, penjadwalan, dan perekaman layar. Mereka juga memiliki kemampuan untuk mencuri email dengan memasang add-on berbahaya ke Apple Mail dan Thunderbird, yang mengirimkan email untuk dikumpulkan oleh FinSpy, dan kemampuan mengumpulkan informasi tentang jaringan Wi-Fi.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Sebuah Spyware Tersembunyi di Dalam Perangkat Lunak Perpajakan Cina Yang Diduga Ditanamkan Oleh Aktor Negara-Bangsa

by

Dilansir dari NBCnews.com, sebuah vendor teknologi multinasional yang melakukan bisnis di China diinstruksikan oleh bank China untuk menginstal perangkat lunak untuk membayar pajak lokal pada awal tahun ini.

Perangkat lunak pajak itu sebenarnya sah, tetapi di dalam nya tertanam sesuatu yang tidak menyenangkan, menurut laporan baru oleh sebuah perusahaan keamanan swasta, Trustwave: Sepotong malware canggih yang memberi para penyerang akses penuh ke jaringan perusahaan.

Trustwavejuga mengatakan malware itu, yang diberi nama GoldenSpy, telah aktif pada bulan April, dan karena terdeteksi awal, perusahaan tidak yakin apakah itu pekerjaan pemerintah Cina atau kelompok kriminal. Tetapi kecanggihan malware itu, dan kurangnya hasil finansial yang cepat dan jelas, tampaknya menunjuk pada aktor negara-bangsa sebagai pelakunya, kata Brian Hussey, mantan spesialis siber FBI dan wakil presiden Trustwave untuk deteksi dan respons ancaman.

Trustwave mendeteksi malware itu setelah melihat beberapa “suar” yang mencurigakan dari jaringan klien. Mereka juga menemukan bahwa spyware diaktifkan dua jam setelah perangkat lunak pajak diinstal, dan secara diam-diam memasang pintu belakang (backdoor) yang memungkinkan penyerang memasang malware lain di dalam jaringan.

Kode berbahaya itu sangat canggih, kata Hussey. Ia memiliki apa yang disebutnya sebagai triple layer of persistence. GoldenSpy menginstal dirinya sendiri pada dua lokasi berbeda di jaringan, dan jika satu dihapus, secera otomatis akan mengaktifkan yang lainnya. Ada juga yang disebut modul pelindung, yang akan mengunduh dan menginstal salinan lain jika keduanya dihapus.

“Pada titik ini, kami tidak dapat menentukan seberapa luas penyebaran perangkat lunak ini,” kata laporan itu. “Kami saat ini mengetahui satu vendor teknologi / perangkat lunak yang ditargetkan dan kejadian yang sangat mirip terjadi di sebuah lembaga keuangan besar, tetapi ini dapat dimanfaatkan terhadap banyak perusahaan yang beroperasi dan membayar pajak di Cina atau mungkin ditargetkan hanya pada beberapa organisasi terpilih dengan akses ke informasi penting.”

“Kampanye GoldenSpy memiliki karakteristik yang sama dengan kampanye Advanced Persistent Threat (APT) terkoordinasi yang menargetkan perusahaan asing yang beroperasi di China,” kata laporan Trustwave.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;
Source: NBC News