PluginPhantom: Trojan Baru Di Android Yang Memanfaatkan Framework DroidPlugin

 

Tim Peneliti Malware di Palo Alto Networks berhasil mendeteksi trojan jenis baru di android yang diberi nama PluginPhantom. Alasan dari penamaan ini karena kemampuan dari Trojan tersebut yang berhasil memanfaatkan FrameWork DroidPlugin untuk menjalankan aplikasi berbahaya. FrameWork DroidPlugin sendiri adalah sebuah framework open-source yang bisa menjalankan aplikasi lain secara virtual diatas aplikasi utamanya, aplikasi virtual ini kemudian dinamakan plugin. Kemampuan utama dari DroidPlugin ini adalah tidak dibutuhkannya instalasi dari aplikasi virtual atau plugin yang akan dijalankan.

PluginPhantom kemudian memanfaatkan kemampuan plugin dari DroidPlugin ini untuk menghindari deteksi dari program antivirus dan program keamanan lainnya. PluginPhantom menjalankan berbagai aplikasi berbahaya secara virtual sebagai plugin tanpa harus menginstallnya satu persatu. Masing-masing aplikasi berbahaya tersebut dikendalikan oleh satu aplikasi utama yakni aplikasi PluginPhantom itu sendiri. Kemampuan ini memberikan keleluasaan bagi PluginPhantom untuk melakukakn update terhadap aplikasi berbahaya yang sedang berjalan tanpa perlu melakukan install ulang.

Infeksi dari Trojan ini dimulai ketika pengguna baik secara sengaja atau tidak menginstall aplikasi yang telah terinfeksi PluginPhantom. Aplikasi utama ini kemudian disebut host yang akan menjalankan berbagai plugin berbahaya yang sebelumnya telah berada pada resource aplikasi host tersebut. Setiap plugin yang dijalankan memiliki fungsinya masing-masing yang berbeda satu sama lain

sumber gambar: http://researchcenter.paloaltonetworks.com
sumber gambar: http://researchcenter.paloaltonetworks.com

Tim dari Palo Alto Networks berhasil mendeteksi 9 plugin berbahaya yang dijalankan oleh aplikasi host ini. Dari 9 plugin tersebut terdapat 3 plugin yang berfungsi sebagai inti yakni plugin task, update dan online. Sementara 6 plugin sisanya akan menjalankan tugas berbahaya sesuai namannya yakni plugin file, location, contact, camera, radio, dan wifi.

Aplikasi host mempunyai kontrol secara penuh terhadap semua plugin tersebut termasuk memberikan perintah atau command. Pada kondisi awal ketika aplikasi host ini berjalan dia akan langsung menjalankan kesembilan plugin berbahaya tersebut

Plugin online bertugas untuk terhubung dengan server Command and Control (C2 atau CnC) untuk kemudian mengupload informasi terkait perangkat yang telah berhasil diinfeksinya. Di fase awal plugin ini akan melakukan inisiasi terhadap server C2 melalui protokol UDP untuk memastikan jika server masih tersedia. Selanjutnya plugin ini akan menerima command dari server C2 melalui WebSocket

Plugin Task berfungsi sebagai jembatan antara aplikasi host dan plugin yang lain. Tergantung dari command yang diberikan oleh host, plugin task akan meneruskan command tersebut ke plugin yang sesuai dengan command tersebut untuk melakukan aktifitas berbahaya. Selain itu plugin task juga bertugas untuk mengupload semua data yang berhasil dicuri dari perangkat android yang telah diinfeksi dan dikirimkan melalui WebSocket ke server C2. Plugin task juga bisa melakukan update terhadap semua plugin yang lain termasuk dirinya sendiri jika mendapatkan command update dari aplikasi host sebelumnya. Setelah update diterima, plugin task akan meminta aplikasi host untuk melakukan reload terhadap semua plugin tanpa perlu melakukan install ulang.

Tujuan utama dari Trojan ini adalah melakukan pencurian data dan informasi dari perangkat yang berhasil diinfeksinya. Melalui 6 pluginnya yang lain, aplikasi host dapat memberikan command yang spesifik untuk mencuri berbagai informasi.

  • Plugin File dipakai untuk melakukan pencurian berbagai file yang berada pada perangkat
  • Plugin Location digunakan untuk mendapatkan informasi lokasi dari perangkat
  • Plugin Contact dipakai untuk mencuri data SMS, riwayat telepon, informasi kontak, dan melakukan penyadapan terhadap telepon masuk dari nomor tertentu
  • Plugin Camera dipakai untuk mengambil foto baik dari kamera depan maupun belakang termasuk juga mengambil skrinsut dari tampilan layar. Untuk menghindari kecurigaan korban, plugin ini menggunakan frame yang sangat kecil untuk preview fotonya saat melakukan pengambilan foto melalui kamera
  • Plugin Radio melakukan perekaman suara secara diam-diam baik untuk telepon masuk atau suara lain tergantung dari command yang diberikan dari server
  • Plugin WIFI dipakai untuk mencuri informasi seputar WIFI seperti SSID, password, IP Address, dan MAC Address. Plugin ini juga dipakai untuk melihat berbagai proses yang sedang berjalan pada perangkat dan mengambil informasi riwayat peramban atau browser.

Selain melalui berbagai plugin diatas, aplikasi host juga memiliki kemampuan lain sebagai keylogger. Kemampuan ini memungkinkan aplikasi host dapat merekam semua ketikan yang dimasukkan oleh korban dan mengirimkannya ke server. Meskipun begitu, teknik ini masih belum bisa merekam dan mengambil inputan berupa password menurut Tim Peneliti di Palo Alto Networks.

Melihat kemampuan yang dimiliki oleh Trojan ini yang berhasil memanfaatkan kemampuan plugin untuk menghindari deteksi bukan tidak mungkin jika di masa yang akan datang akan lebih banyak lagi malware lain yang juga akan ikut menggunakan teknik yang sama.

Untuk perlindungan dari serangan malware anda bisa mengikuti tips berikut

Sumber:

https://netsec.id/pluginphantom-trojan-android-manfaatkan-framework-droidplugin/

Hoax SMS

 

 

Screenshot_1                                                                                                Seorang kawan yang tinggal di Perth meng-upload berita terkait Hoax SMS yang diterima oleh sebagian orang di Australia.  Tampaknya SMS ini ditujukan bagi para nasabah bank ANZ.  Sebetulnya teknik Social Engineering dalam bentuk Smishing ini bukan lah satu teknik yang baru.  Intinya sang target diarahkan untuk mengklik link yang dapat berisi semacam daftar isian dimana nasabah harus memasukkan credential seperti userid dan password online banking dan/atau semacam mobile banking Trojan yang nantinya dapat digunakan untuk ‘mencuri’ uang milik nasabah.

Setelah saya cek link yang ada dalam SMS tersebut, tampaknya malicious link tersebut sudah di-suspend oleh pejabat berwenang di Rusia.  Seperti biasa, para cybercrime menempatkan malicious website mereka atau Command and Control server dari malware di Rusia.  Sudah menjadi rahasia umum, jika sebagian besar cybercriminal ada di Rusia, Ukrainia dan China.

Screenshot_2

Indonesia sendiri merupakan target utama dari para cybercriminal, sehingga para pengguna online mobile banking dan juga pengguna smartphone harus berhati-hati ketika menerima SMS, MMS atau email yang meminta untuk meng-klik satu URL/link.  Lebih baik kita menanyakan secara langsung ke bank yang bersangkutan.

Inilah Virus dan Malware Android Yang Paling Berbahaya

ArenaLTE.com – Menurut laporan Cheetah Mobile, ada sekitar 9,5 juta virus dan malware yang beredar dan meyerang Android selama tahun 2015. Dan negara Cina, India juga Indonesia merupakan ketiga negara yang paling banyak menerima serangan virus dan malware Android tersebut. Selain karena ketiga negara tersebut merupakan basis pengguna Android terbanyak, aplikasi pihak ketiga (third party apps) paling banyak tersebar luas di ketiga negara tersebut, dan  kebanyakan malware dan virus masuk melalui aplikasi pihak ketiga yang kita download.

Pada 2015, Virus atau Trojan yang sangat populer yaitu Root Trojan. Jenis Trojan ini dapat memperoleh hak akses system-level para pengguna perangkat Android dan menyembunyikannya pada bagian yang sangat tersembunyi, membuatnya sangat sulit dihapus. Contoh yang paling khas adalah the stubborn Ghost Push dan berbagai variannya.

Pada 2015, Cheetah Mobile juga mendeteksi kehadiran lebih dari 1.300.000 situs berbahaya. Jumlah situs berbahaya meningkat dari bulan sebelumnya, dan mencapai puncaknya pada bulan Desember. Dimana bulan-bulan akhir tahun adalah musim liburan dan belanja, orang-orang bersedia untuk menghabiskan uang yang menjadi sasaran empuk para penjahat online.

Para penyebar virus dan malware ini menggunakan berbagai cara untuk melakukan aksi jahatnya, baik melalui aplikasi pihak ketiga juga melalui website berbahaya. Mesin pencari (Search Engine), Jejaring Sosial hingga SMS digunakan sebagai media untuk menyusupi virus dan malware berbahaya atau mencuri data pribadi kita.

Virus dan Malware Android Paling Sulit Dimusnahkan

Di bulan Oktober 2015, Cheetah Mobile Security Lab memperingatkan para pengguna Android tentang penyebaran virus Ghost Push yang telah menginfeksi levbih dari 900,000 pengguna Android di 116 negara. Virus ini mampu menguasai smartphone dan tablet kita dan sulit dimusnahkan. Virus ini juga akan memasang aplikasi tanpa izin penggunanya demi mendapatkan uang dari pengiklan.

Virus dan Malware Android Paling Jahat

Virus Trojan yang sudah terpasang di perangkat (pre-installed Trojan) – Para peneliti dari Cheetah Mobile Security Lab menemukan Trojan bernama Cloudsota, sudah terpasang di tablet Android tertentu. Lebih dari 50 negara telah terinfeksi oleh virus Trojan ini.

Virus dan Malware Android Paling Menarik

Trojan “Gambar Pesta” (Party Pics Trojan), pengguna Android akan menerima pesan teks dari nomor tak dikenal yang menulis “Coba lihat foto-foto pestamu! Semua temanmu ada disana!” dengan link dibawahnya. Setelah di klik, pengguna tidak akan melihat foto atau gambar, tapi telepon selular mereka akan mendapatkan virus Trojan.

Virus dan Malware Paling Sukar Dideteksi

CM Security Research Lab mengidentifikasi lima aplikasi berbahaya tersedia untuk diunduh di Google Play yang berisi jenis malware yang disebut Hide Icon. Hide Icon ini telah menginfeksi lebih dari 56.000 perangkat pada 2015. Malware ini menyamarkan dirinya sebagai alat yang berguna seperti senter dan kompas, dan mencuri data pribadi pengguna dan kerap kali memaksakan menampilkan iklan layar penuh ke perangkat korban.

Virus dan Malware Paling Menjengkelkan

CM Security Research mendeteksi sebuah ransomware bernama iToper, yang dikirimkan melalui forum-forum ponsel dan market store aplikasi pihak ke tiga. Sekali virus diaktifkan, akan menghentikan aktivitas lainnya yang berjalan pada ponsel, mengunci perangkat, dan kemudian menampilkan peringatan palsu dari FBI yang mencoba untuk memeras uang dari pengguna.

Virus dan Malware Paling Membuat Rugi

Kerentanan terhadap ‘Android Installer Hijacking’ membuat pihak ketiga dapat bisa menyusup kedalam smartphone Android, lalu memasang malware dan mencuri data pribadi kita. Ada sekitar 49,5 persen dari semua smartphone Android, termasuk tablet, memiliki risiko untuk mengalami masalah ini.

Sumber:

http://arenalte.com/berita/industri/inilah-virus-dan-malware-android-yang-paling-berbahaya/

HummingBad: Malware Penghasil Uang dengan Menginfeksi 85 juta Perangkat (Bagian I)

Periset dari Check Point Mobile Threat selama 5 bulan terakhir melakukan investigasi atas satu mobile malware yang kemudian diberi nama “HummingBad.”  Para periset pertama kali menemukan varian malware ini pada bulan Pebruari 2016 dan sampai saat ini diprediksi telah menginfeksi 85 juta perangkat mobile di berbagai negara dengan total 10 juta perangkat telah berhasil dikendalikan oleh Yingmob-perusahaan yang diyakini berada dibelakang pengembangan dan penyebaran malware tersebut.

HummingBad mampu menciptakan rootkit yang bersifat permanen dengan tujuan mendapatkan keuntungan finansial melalui advertorial (iklan) dan juga menginstal aplikasi yang bersifat malicious.  Menurut Check Point, saat ini Yingmob masih menggunakan iklan sebagai sumber utama penghasilan dari HummingBad.  Akan tetapi dengan jutaan atau bahkan puluhan juta perangkat yang telah berhasil di root, maka Yingmob dapat menghasilkan botnet dengan jumlah yang sama.  Tentunya botnet-botnet ini dapat dijual di black market yang kemudian dapat digunakan untuk menyerang organisasi pemerintahan atau bisnis.  Selain itu, data yang disimpan dalam perangkat yang telah terifeksi dapat digunakan oleh Yingmob untuk kepentingan ilegal lainnya.  Pada akhirnya, korban dari HummingBad tidak terbatas pada pengguna handset tetapi juga perusahaan dan lembaga pemerintahan.

Keuntungan Finansial sebagai Tujuan (saat ini)

Check Point melakukan penghitungan keuntungan finansial dari HummingBad dengan penghitungan sebagai berikut:

  • Applikasi terkait HummingBad berhasil menunjukkan advertisement sebanyak 20 juta per hari;
  • Yingmob berhasil mendapatkan click rate sebesar 12,5% atau sebesar 2,5 juta click per hari;
    • Penghasilan dari revenue per click (RPC) adalah USD $0.00125 sehingga total RPC per hari yang diterima oleh Yingmob sebesar $3,000 per hari.
  • HummingBad menginstal lebih dari 50,000 aplikasi malicious per hari;
    • Penghasilan dari instalasi aplikasi malicious adalah $0.15, sehingga total penghasilan yang diterima sebesar $ 7,500 per hari.
  • Sehingga total penghasilan yang diterima oleh Yingmob dari HummingBad minimal sebesar $10,000 per hari atau total $ 300,000 per  bulan.

Yang Pertama Tapi Bukan Yang Terakhir

Yingmob mungkin telah menjadi perusahaan pertama yang berhasil mendapatkan keuntungan finansial dari mobile malware melalui fraudulent advertisement dan juga instalasi applikasi yang malicious.  Namun perusahaan tersebut bukan perusahaan yang terakhir, karena banyak perusahaan lainnya akan mengikuti jejak Yingmob.  Satu hal yang perlu diwaspadai adalah sebaran serangan yang semakin luas dan teknik-teknik yang lebih canggih.

(Bersambung ke Bagian ke-2: Bagaimana HummingBad Bekerja)

Sumber:

From HummingBad to Worse (http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/)

“Malware” Pencuri Uang Beredar di Indonesia, Bagaimana Menangkalnya?

JAKARTA, KOMPAS.com – Polisi mengungkap pola pencurian uang nasabah yang dilakukan sindikat internasional dengan menggunakan virus atau malware.
Dalam sebulan, 300 nasabah menjadi korban dan kerugiannya ditaksir mencapai Rp 130 miliar. Bagaimana mencegah aksi malware pencuri uang tersebut?Direktur Tindak Pidana Ekonomi dan Khusus Bareskrim Polri Brigjen (Pol) Victor Edi Simanjuntak mengatakan, kunci masuk para pelaku beraksi adalah virus itu sendiri. Lewat malware, pelaku dengan leluasa mengintip password akun internet banking nasabah dan mampu membelokkan arah transaksi keuangan.

“Ada dua hal kenapa pencurian ini bisa terjadi. Pertama, nasabah tidak memahami benar bagaimana penggunaan internet banking yang aman,” ujar Victor dalam konferensi persnya di ruang rapat Dirtipideksus Bareskrim Polri, Senin (13/4/2015) kemarin.

Kedua, nasabah ceroboh dalam mengunduh software. Sebab, malwareitu terdapat di dalam iklan software palsu internet banking yang kerap muncul di sejumlah laman situs di dunia maya. Software asli yang dikeluarkan oleh bank, ujar Victor, tentu sudah dilengkapi pengaman virus.

“Saran penyidik, jangan lagi ada yang mengunduh program software di laman-laman internet yang tidak bisa kita pastikan keasliannya. Belisoftware yang pasti-pasti saja dari bank,” ujar Victor.

Selain mengejar pelaku berkewarganegaraan asing, saat ini kepolisian juga tengah mencari cara bagaimana menghentikan kemunculan iklan aplikasi internet banking di sejumlah laman internet. Victor menyebutkan, kunci menghindari aksi kejahatan sindikat malware ini adalah ketelitian nasabah sendiri.

“Karena kami meyakini saat ini pun virus itu masih ada di internet dan entah sudah berapa korban yang bertambah saat ini. Harus hati-hati,” ujar Victor.

Subdirektorat Cyber Crime Badan Reserse Kriminal Polri tengah mengusut kasus pencurian uang nasabah yang marak terjadi di Jakarta. Berdasarkan penyelidikan sementara, pelaku menggunakan sebuah virus malware demi keberhasilan aksinya.

Virus itu disebarkan ke ponsel nasabah melalui iklan-iklan aplikasi palsu internet banking yang kerap muncul di sejumlah laman internet. Ketika nasabah mengunduh software palsu itu, otomatis malwaremasuk ke ponsel nasabah. Virus itu pun memanipulasi tampilan lamaninternet banking, seolah-olah laman tersebut benar-benar berasal dari bank nasabah.

“Padahal tidak. Begitu virus itu masuk, pelaku yang mengendalikan. Tampilan di layar dibuat persis sama seperti program bank. Jadi, seolah-olah, si nasabah tengah berinteraksi dengan program bank, padahal ke pelaku,” ujar Victor.

Begitu pelaku sudah mengendalikan program internet bankingnasabah, dengan mudah dia mengetahui kode rahasia rekening nasabah. Namun, si pelaku tidak menguras rekening nasabah. Dia hanya membelokkan arah uang jika nasabah yang telah melakukan transaksi keuangan.

Sejauh ini, sudah ada sekitar 300 nasabah yang menjadi korban. Adapun total kerugian mencapai Rp 130 miliar. Dari tiga bank, ada bank yang bersedia mengganti kerugian nasabah, tetapi ada juga yang tidak. Penyidik bekerja sama dengan interpol untuk memburu pelaku.

Sumber:

http://tekno.kompas.com/read/2015/04/14/13250037/.Malware.Pencuri.Uang.Beredar.di.Indonesia.Bagaimana.Menangkalnya.

Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Satu malware tipe Trojan yang diberi nama “Hummer” telah menyerang 1,2 juta perangkat mobile yang menggunakan Android sebagai sistem operasinya. Periset keamanan dari Cheetah Mobile Sec…

Source: Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Satu malware tipe Trojan yang diberi nama “Hummer” telah menyerang 1,2 juta perangkat mobile yang menggunakan Android sebagai sistem operasinya. Periset keamanan dari Cheetah Mobile Security Research Lab bahkan menyebutkan jika Hummer sebagai family Trojan dengan sebaran serangan terbesar yang dapat menginfeksi jutaan handset Android di seluruh dunia.

Diprediksi, Hummer berasal dari Cina mengingat besarnya industry Android mobile malware disana.  Walaupun serangan per hari telah menunjukkan trend yang menurun, tetapi jumlah handset yang akan menjadi korban dari serangan ini akan tetap besar.

Tujuan dari cybercriminal yang ada dibelakang serangan Hummer adalah mendapatkan keuntungan finansial.  Diperkirakan para cybercriminal dapat meraup keuntungan sebesar $500,000 per hari dengan biaya per instalasi Hummer sebesar $0.50 per handset.

Hummer melakukan serangan dengan cara melakukan rooting atas handset untuk mendapatkan admin privileges.  Dampaknya, dalam handset akan muncul banyak pop-up ads dan instalasi aplikasi yang tidak diharapkan oleh pengguna, aplikasi games, aplikasi pornographi, dan malware lainnya.  Walaupun pengguna dapat menghapus aplikasi-aplikasi tersebut, tetapi Hummer akan melakukan re-instalasi kembali.  Bahkan ketika pengguna melakukan factory resetting sekalipun, Hummer akan tetapi ada dan melakukan re-instalasi aplikasi-aplikasi yang tidak diinstal oleh pengguna tersebut.

Menurut hasil analisis oleh Cheetah Mobile, perangkat yang telah terinfeksi Hummer dalam kurun waktu beberapa jam akan mengunduh 200 APK (aplikasi Android), dan mengkonsumsi data traffic sebesar 2 GB.  Dapat dibayangkan kerugian finansial yang diderita oleh pengguna akibat pemakaian bandwidth yang sangat besar yang disebabkan oleh Hummer.

Indonesia termasuk menjadi negara yang paling banyak jumlah korban serangkan tersebut.  Berikut ini 5 besar negara yang menjadi korban Hummer:

  1. India: 154,248
  2. Indonesia: 92,889
  3. Turkey: 63,906
  4. China: 63,285
  5. Mexico:59,192

Aplikasi Cheetah Mobile diklaim mampu menghapus Hummer.  Selain itu pengguna dapat melakukan flashing atas internal memory untuk menghapus Hummer secara permanen.

Sumber: http://www.techrepublic.com/article/1-2-million-infected-android-malware-hummer-could-be-biggest-trojan-ever/