Trojan

Spyware Ditemukan di Aplikasi Google Play dengan Unduhan Lebih dari 420 Juta

June 1, 2023 by Eevee

Perusahaan antivirus Doctor Web baru-baru ini mengungkapkan adanya spyware di lebih dari 100 aplikasi Android di Google Play. Total unduhan dari aplikasi-aplikasi ini mencapai lebih dari 420 juta.

Spyware ini disebut SpinOk dan tersebar dalam bentuk SDK pemasaran. Pada perangkat korban, SpinOk dapat mengumpulkan informasi file, mengirim file kepada penyerang, dan mencuri konten clipboard.

Modul jahat ini menawarkan permainan mini, tugas, dan hadiah palsu untuk menjaga minat pengguna terhadap aplikasi-aplikasi tersebut.

SpinOk terhubung ke server command-and-control (C&C) setelah dieksekusi. Ia mengirim informasi perangkat, termasuk data dari sensor, yang digunakan untuk mendeteksi lingkungan emulator. Server merespons dengan sejumlah URL yang digunakan untuk menampilkan iklan melalui WebView.

Selain itu, SpinOk dapat mengumpulkan daftar file dalam direktori tertentu, memeriksa keberadaan file dan direktori spesifik, mengunggah file dari perangkat, dan mengganti konten clipboard.

Dengan kemampuannya yang berbahaya, modul trojan ini memungkinkan para penyerang untuk mendapatkan informasi dan file rahasia dari perangkat pengguna. Untuk melakukan ini, penyerang perlu menambahkan kode tertentu ke halaman iklan.

Doctor Web telah melaporkan temuannya kepada Google, dan beberapa aplikasi sudah dihapus. Namun, perlu diingat bahwa tidak semua versi aplikasi mengandung SDK jahat tersebut.

Beberapa aplikasi populer yang terdampak meliputi Noizz dengan lebih dari 100 juta unduhan, Zapya dengan lebih dari 100 juta unduhan (versi 6.3.3 hingga 6.4), VFly dengan lebih dari 50 juta unduhan, MVBit dengan lebih dari 50 juta unduhan, dan Biugo dengan lebih dari 50 juta unduhan. Doctor Web telah merilis daftar lengkap aplikasi yang terinfeksi untuk informasi lebih lanjut.

Sumber: Securityweek

Aplikasi Fake Steam Desktop Authenticator mendistribusikan DarkCrystal RAT

May 20, 2023 by Coffee Bean

Baru-baru ini saya menemukan kampanye menarik yang menggunakan situs web palsu untuk mendistribusikan malware. Meski TTP ini bukan barang baru, namun sepertinya sedang naik daun. Secara anekdot, saya telah melihatnya dalam banyak kasus di tahun 2023 lebih dari sebelumnya. Sulit untuk mengukur tanpa melakukan penelitian ekstensif, setidaknya ini adalah sesuatu yang harus diperhatikan oleh analis lain.

Tersangka penjahat dunia maya yang berbasis di Rusia memutuskan untuk mengkloning situs web aplikasi desktop sumber terbuka yang sah (lihat di sini) yang disebut Steam Desktop Authenticator (SDA) yang merupakan versi desktop yang nyaman dari aplikasi autentikator seluler. Namun, untuk kenyamanan itu, ada harga – penipuan peniruan dan pembajakan akun. Repo GitHub dari aplikasi SDA juga memiliki peringatan kepada orang lain tentang versi palsu yang beredar.

Pelaku ancaman yang mendistribusikan SDA versi palsu menggunakan dua teknik yang efektif jika dipasangkan bersama: Kloning Situs dan Typosquatting.

Kloning Situs melibatkan penyalinan semua HTML, CSS, JavaScript, PHP, dll, kode dari satu situs web dan menghostingnya kembali di server web Anda sendiri. Oleh karena itu terlihat sama dan bertindak sama. Semua tombol di situs itu juga berfungsi seperti aslinya dan akan mengarahkan Anda dari situs palsu ke halaman lain di situs asli.

Typosquatting melibatkan pendaftaran domain yang mirip dengan target. Oleh karena itu, ketika pengguna mengunjungi situs atau disajikan dengan URL, mereka kemudian harus secara sadar memperhatikan domain di URL untuk mengetahui bahwa itu bukan yang asli, misalnya, github.com.

selengkapnya : blog.bushidotoken.net

Serangan Inaudible Ultrasound Diam-diam Dapat Mengontrol Ponsel Anda, Smart Speaker

March 27, 2023 by Flamango

Peneliti Universitas Amerika telah mengembangkan serangan baru yang “Near-Ultrasound Inaudible Trojan” (NUIT) yang dapat meluncurkan serangan senyap terhadap perangkat yang diberdayakan oleh asisten suara, seperti smartphone, smart speaker, dan IoT lainnya.

Tim peneliti mendemonstrasikan serangan NUIT terhadap asisten suara modern yang ditemukan dalam jutaan perangkat, termasuk Siri Apple, Asisten Google, Cortana Microsoft, dan Alexa Amazon, menunjukkan kemampuan untuk mengirim perintah berbahaya ke perangkat tersebut.

Serangan Inaudible
Prinsip utama yang membuat NUIT efektif dan berbahaya adalah mikrofon di perangkat pintar dapat merespons gelombang mendekati ultrasound yang tidak dapat dilakukan telinga manusia, sehingga melakukan serangan dengan risiko paparan minimal sambil tetap menggunakan teknologi speaker konvensional.

Para peneliti mengatakan serangan NUIT dapat dilakukan dengan menggunakan dua metode berbeda. Metode NUIT-1, adalah saat perangkat menjadi sumber sekaligus target serangan.

Sedangkan metode NUIT-2, adalah ketika serangan diluncurkan oleh perangkat dengan speaker ke perangkat lain dengan mikrofon, seperti situs web ke speaker pintar.

Skenario serangan yang ditunjukkan oleh para peneliti melibatkan pengiriman perintah ke IoT yang terhubung ke smartphone dengan sedikit risiko korban menyadari aktivitas ini sedang berlangsung.

Penyerang juga dapat mengarahkan ponsel cerdas ke sebuah situs web untuk menjatuhkan malware dengan mengeksploitasi kerentanan di browser tanpa interaksi oleh korban.

Chen menyarankan untuk mengautentikasi perangkat pintar menggunakan sidik jari vokal dan memantau perangkat dengan cermat untuk aktivasi mikrofon, yang telah mendedikasikan indikator di layar pada smartphone iOS dan Android.

Selengkapnya: BleepingComputer

Peretas StrongPity Mendistribusikan Aplikasi Telegram yang Di-Trojan untuk Menargetkan Pengguna Android

January 11, 2023 by Coffee Bean

Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

“Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity,” peneliti malware ESET. StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Juga tidak ada bukti (“video.apk”) bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

sumber : thehackernews

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

January 8, 2023 by Coffee Bean

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired

Hacker Mencuri $8 Juta dari Pengguna Aplikasi Trojanized BitKeep

December 28, 2022 by Coffee Bean

Beberapa pengguna dompet crypto BitKeep melaporkan bahwa dompet mereka dikosongkan selama Natal setelah peretas memicu transaksi yang tidak memerlukan verifikasi.

BitKeep adalah dompet DeFi web3 multi-rantai terdesentralisasi yang mendukung lebih dari 30 blockchain, 76 jaringan utama, 20.000 aplikasi terdesentralisasi, dan lebih dari 223.000 aset. Ini digunakan oleh lebih dari delapan juta orang di 168 negara untuk manajemen aset dan penanganan transaksi.

“Jika dana Anda dicuri, aplikasi yang Anda unduh atau perbarui mungkin merupakan versi yang tidak dikenal (unofficial release version) yang dibajak.”

Mereka yang mengunduh paket APK trojan disarankan untuk memindahkan semua dana mereka ke toko resmi setelah mengunduh aplikasi resmi dari Google Play atau App Store, membuat alamat dompet baru dan memindahkan semua dana mereka ke sana.

Platform memperingatkan bahwa setiap alamat dompet yang dibuat menggunakan APK jahat harus diperlakukan sebagai disusupi.

Terakhir, mereka yang menjadi korban peretasan diminta mengisi formulir ini agar tim dukungan BitKeep mencoba menawarkan solusi tepat waktu.

Transaksi mencurigakan yang ditemukan oleh PeckShield termasuk 4373 $BNB, 5,4 juta $USDT, 196k $DAI, dan 1233,21 $ETH.

tracing transaksisi illegal (PeckShield)

Pada Oktober 2022, BitKeep mengalami kerugian sekitar $1 juta setelah seorang peretas mengeksploitasi kerentanan dalam layanan yang memungkinkan mereka melakukan pertukaran token secara sewenang-wenang.

Saat itu, BitKeep berjanji akan mengganti kerugian sepenuhnya bagi mereka yang terkena dampak insiden tersebut. Namun, karena serangan saat ini diakibatkan oleh pengguna yang ditipu oleh APK yang di-trojanisasi, kecil kemungkinan akan ada pengembalian dana.

sumber : bleeping computer

Pengguna Brazilian Banking Terancam Trojan Android BrasDex Baru

December 21, 2022 by Coffee Bean

Pelaku ancaman di balik malware perbankan Windows yang dikenal sebagai Casbaneiro telah dikaitkan sebagai dibalik trojan Android baru bernama BrasDex yang telah diamati menargetkan pengguna Brasil sebagai bagian dari kampanye multi-platform yang sedang berlangsung.

BrasDex menampilkan “sistem keylogging kompleks yang dirancang untuk menyalahgunakan Layanan Aksesibilitas untuk mengekstraksi kredensial secara khusus dari serangkaian aplikasi yang ditargetkan di Brasil. yang diketahui menyerang bank dan layanan mata uang kripto di Brasil dan Meksiko.

BrasDex, yang menyamar sebagai aplikasi perbankan untuk Banco Santander, juga melambangkan tren baru yang melibatkan penyalahgunaan API Aksesibilitas Android untuk mencatat penekanan tombol yang dimasukkan oleh korban, beralih dari metode serangan overlay tradisional untuk mencuri kredensial dan data pribadi lainnya.

Itu juga direkayasa untuk menangkap informasi saldo akun, kemudian menggunakannya untuk mengambil alih perangkat yang terinfeksi dan memulai transaksi penipuan dengan cara terprogram.

Ini bukan pertama kalinya ekosistem pembayaran instan menjadi sasaran pelaku kejahatan. Pada September 2021

Investigasi ThreatFabric terhadap BrasDex juga memungkinkannya mendapatkan akses ke panel C2 yang digunakan oleh operator kriminal untuk melacak perangkat yang terinfeksi dan mengambil log data yang diambil dari ponsel Android.

Rantai serangan ini menggunakan umpan phishing bertema pengiriman paket yang mengaku berasal dari Correios, layanan pos milik negara, untuk menipu penerima agar mengeksekusi malware mengikuti proses multi-tahap.

Kasus BrasDex menunjukkan perlunya mekanisme deteksi dan pencegahan penipuan pada perangkat pelanggan: Pembayaran penipuan yang dilakukan secara otomatis dengan bantuan mesin ATS tampaknya sah untuk backend bank dan mesin penilaian penipuan, karena dilakukan melalui perangkat yang sama yang biasanya digunakan oleh pelanggan.

sumber : the hackernews

Peneliti Mengungkap Layanan Darknet yang Mengizinkan Peretas Meng-Trojan Aplikasi Android Resmi

December 10, 2022 by Søren

Para peneliti telah menjelaskan kampanye malware hybrid baru yang menargetkan sistem operasi Android dan Windows dalam upaya untuk memperluas kumpulan korbannya.

Serangan tersebut memerlukan penggunaan malware yang berbeda seperti ERMAC, Erbium, Aurora, dan Laplas, menurut laporan ThreatFabric yang dibagikan dengan The Hacker News.

“Kampanye ini mengakibatkan ribuan korban,” kata perusahaan cybersecurity Belanda, menambahkan, “pencuri Erbium berhasil mengekstraksi data dari lebih dari 1.300 korban.”

Infeksi ERMAC dimulai dengan situs web penipuan yang mengklaim menawarkan perangkat lunak otorisasi Wi-Fi untuk Android dan Windows yang, ketika dipasang, dilengkapi dengan fitur untuk mencuri seed phrase dari dompet kripto dan data sensitif lainnya.

ThreatFabric mengatakan juga menemukan sejumlah aplikasi berbahaya yang merupakan versi trojan dari aplikasi yang sah seperti Instagram, dengan operator menggunakannya sebagai dropper untuk mengirimkan muatan berbahaya yang disamarkan.

Aplikasi nakal, yang dijuluki Zombinder, dikatakan telah dikembangkan menggunakan layanan pengikatan APK yang diiklankan di web gelap oleh aktor ancaman terkenal sejak Maret 2022.

Aplikasi zombie semacam itu juga telah digunakan untuk mendistribusikan trojan perbankan Android seperti SOVA dan Xenomorph yang menargetkan pelanggan antara lain di Spanyol, Portugal, dan Kanada.

Menariknya, opsi pengunduhan untuk Windows di situs web jebakan yang mendistribusikan ERMAC dirancang untuk menyebarkan pencuri informasi Erbium dan Aurora pada sistem yang disusupi.

Erbium, yang merupakan malware-as-a-service (MaaS) berlisensi untuk $1.000 per tahun, tidak hanya mencuri kata sandi dan informasi kartu kredit, tetapi juga telah diamati bertindak sebagai saluran untuk menjatuhkan clipper Laplas yang digunakan untuk membajak transaksi crypto .

“Kehadiran trojan yang begitu beragam mungkin juga menunjukkan bahwa laman landas berbahaya digunakan oleh banyak pelaku dan diberikan kepada mereka sebagai bagian dari layanan distribusi pihak ketiga,” para peneliti berteori.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trojan

Cookies Settings