Marcher – Android banking Trojan

Semester kedua di tahun 2016 hingga periode awal tahun 2017 ditandai dengan kehadiran salah satu varian mobile banking Trojan yang dinamakan “Marcher”.  Sebetulnya cukup banyak varian mobile banking Trojan lainnya di tahun 2016 hingga tahun 2017, tetapi Marcher sangat menarik perhatian karena beberapa hal sebagai berikut:

a. Secara teknis mengungguli varian mobile banking Trojan yang beredar hingga saat ini.  Terutama kemampuannya menyerang device yang menggunakan Android 6 yang terbilang ‘kuat’;

b. Memiliki fitur ‘Dynamic Overlay’ yang memungkinan adanya tampilan yang dinamis seperti Google Play, Facebook dan juga Mobile Banking Apps;

c. Penghindaran scanning Anti-Virus.  Terdapat fitur yang akan mencegah AV yang terdapat dalam smartphone untuk melakukan scanning;

d. Permintaan Administrative permissions/privilege yang canggih.  Malware tersebut akan terus menerus meminta user untuk memberikan administrative rights hingga user akhirnya memberikan.  Teknik yang sama umumnya digunakan oleh ransomware.

Target dari Marcher adalah lembaga finansial di Jerman, Perancis, UK dan US.  Menurut para peneliti, setidaknya terdapat 9 ‘aktor’ dibelakang Marcher yang memiliki botnets nya masing-masing yaitu:

  • flexdeonblake
  • angelkelly
  • MUCHTHENWERESTO
  • balls51
  • CHECKPIECEUNTIL
  • crystalknight
  • jadafire
  • sinnamonlove
  • CONTAINSURE

Para cybercriminal di belakang Marcher tersebut tidak saja mendapatkan keuntungan finansial dari ‘mencuri’ tetapi juga menjual Trojan tersebut ke kelompok kriminal yang lain serta menjual fitur-fitur dari Marcher seperti SOCKS module dan injects terbaru.

Referensi:

https://www.securify.nl/blog/SFY20170202/marcher___android_banking_trojan_on_the_rise.html

http://news.softpedia.com/news/android-banking-trojan-marcher-targets-dozens-of-apps-bypasses-antivirus-512871.shtml

PluginPhantom: Trojan Baru Di Android Yang Memanfaatkan Framework DroidPlugin

 

Tim Peneliti Malware di Palo Alto Networks berhasil mendeteksi trojan jenis baru di android yang diberi nama PluginPhantom. Alasan dari penamaan ini karena kemampuan dari Trojan tersebut yang berhasil memanfaatkan FrameWork DroidPlugin untuk menjalankan aplikasi berbahaya. FrameWork DroidPlugin sendiri adalah sebuah framework open-source yang bisa menjalankan aplikasi lain secara virtual diatas aplikasi utamanya, aplikasi virtual ini kemudian dinamakan plugin. Kemampuan utama dari DroidPlugin ini adalah tidak dibutuhkannya instalasi dari aplikasi virtual atau plugin yang akan dijalankan.

PluginPhantom kemudian memanfaatkan kemampuan plugin dari DroidPlugin ini untuk menghindari deteksi dari program antivirus dan program keamanan lainnya. PluginPhantom menjalankan berbagai aplikasi berbahaya secara virtual sebagai plugin tanpa harus menginstallnya satu persatu. Masing-masing aplikasi berbahaya tersebut dikendalikan oleh satu aplikasi utama yakni aplikasi PluginPhantom itu sendiri. Kemampuan ini memberikan keleluasaan bagi PluginPhantom untuk melakukakn update terhadap aplikasi berbahaya yang sedang berjalan tanpa perlu melakukan install ulang.

Infeksi dari Trojan ini dimulai ketika pengguna baik secara sengaja atau tidak menginstall aplikasi yang telah terinfeksi PluginPhantom. Aplikasi utama ini kemudian disebut host yang akan menjalankan berbagai plugin berbahaya yang sebelumnya telah berada pada resource aplikasi host tersebut. Setiap plugin yang dijalankan memiliki fungsinya masing-masing yang berbeda satu sama lain

sumber gambar: http://researchcenter.paloaltonetworks.com
sumber gambar: http://researchcenter.paloaltonetworks.com

Tim dari Palo Alto Networks berhasil mendeteksi 9 plugin berbahaya yang dijalankan oleh aplikasi host ini. Dari 9 plugin tersebut terdapat 3 plugin yang berfungsi sebagai inti yakni plugin task, update dan online. Sementara 6 plugin sisanya akan menjalankan tugas berbahaya sesuai namannya yakni plugin file, location, contact, camera, radio, dan wifi.

Aplikasi host mempunyai kontrol secara penuh terhadap semua plugin tersebut termasuk memberikan perintah atau command. Pada kondisi awal ketika aplikasi host ini berjalan dia akan langsung menjalankan kesembilan plugin berbahaya tersebut

Plugin online bertugas untuk terhubung dengan server Command and Control (C2 atau CnC) untuk kemudian mengupload informasi terkait perangkat yang telah berhasil diinfeksinya. Di fase awal plugin ini akan melakukan inisiasi terhadap server C2 melalui protokol UDP untuk memastikan jika server masih tersedia. Selanjutnya plugin ini akan menerima command dari server C2 melalui WebSocket

Plugin Task berfungsi sebagai jembatan antara aplikasi host dan plugin yang lain. Tergantung dari command yang diberikan oleh host, plugin task akan meneruskan command tersebut ke plugin yang sesuai dengan command tersebut untuk melakukan aktifitas berbahaya. Selain itu plugin task juga bertugas untuk mengupload semua data yang berhasil dicuri dari perangkat android yang telah diinfeksi dan dikirimkan melalui WebSocket ke server C2. Plugin task juga bisa melakukan update terhadap semua plugin yang lain termasuk dirinya sendiri jika mendapatkan command update dari aplikasi host sebelumnya. Setelah update diterima, plugin task akan meminta aplikasi host untuk melakukan reload terhadap semua plugin tanpa perlu melakukan install ulang.

Tujuan utama dari Trojan ini adalah melakukan pencurian data dan informasi dari perangkat yang berhasil diinfeksinya. Melalui 6 pluginnya yang lain, aplikasi host dapat memberikan command yang spesifik untuk mencuri berbagai informasi.

  • Plugin File dipakai untuk melakukan pencurian berbagai file yang berada pada perangkat
  • Plugin Location digunakan untuk mendapatkan informasi lokasi dari perangkat
  • Plugin Contact dipakai untuk mencuri data SMS, riwayat telepon, informasi kontak, dan melakukan penyadapan terhadap telepon masuk dari nomor tertentu
  • Plugin Camera dipakai untuk mengambil foto baik dari kamera depan maupun belakang termasuk juga mengambil skrinsut dari tampilan layar. Untuk menghindari kecurigaan korban, plugin ini menggunakan frame yang sangat kecil untuk preview fotonya saat melakukan pengambilan foto melalui kamera
  • Plugin Radio melakukan perekaman suara secara diam-diam baik untuk telepon masuk atau suara lain tergantung dari command yang diberikan dari server
  • Plugin WIFI dipakai untuk mencuri informasi seputar WIFI seperti SSID, password, IP Address, dan MAC Address. Plugin ini juga dipakai untuk melihat berbagai proses yang sedang berjalan pada perangkat dan mengambil informasi riwayat peramban atau browser.

Selain melalui berbagai plugin diatas, aplikasi host juga memiliki kemampuan lain sebagai keylogger. Kemampuan ini memungkinkan aplikasi host dapat merekam semua ketikan yang dimasukkan oleh korban dan mengirimkannya ke server. Meskipun begitu, teknik ini masih belum bisa merekam dan mengambil inputan berupa password menurut Tim Peneliti di Palo Alto Networks.

Melihat kemampuan yang dimiliki oleh Trojan ini yang berhasil memanfaatkan kemampuan plugin untuk menghindari deteksi bukan tidak mungkin jika di masa yang akan datang akan lebih banyak lagi malware lain yang juga akan ikut menggunakan teknik yang sama.

Untuk perlindungan dari serangan malware anda bisa mengikuti tips berikut

Sumber:

https://netsec.id/pluginphantom-trojan-android-manfaatkan-framework-droidplugin/

Reverse Engineering & Analysis Mobile Malware

Examiner dapat melakukan reverse engineering atas file .apk yang telah diperoleh yang diduga merupakan malware.  Terdapat beberapa tools baik berupa web service maupun aplikasi untuk melakukan reverse engineering yaitu:

  1. Dexter: merupakan web service untuk analisis malware secara statis. Examiner dapat mengupload file .apk ke dalam website tersebut dan selanjutnya Dexter akan melakukan analisis secara ringkas terutama metadata dan packages dari malware;
  2. Anubis/Andrubis: merupakan web service untuk analisis malware secara statis dan dinamis. Artinya selain menganalisa seluruh kode programming yang ada di file .apk, web service Andrubis akan menjalankan file .apk dalam sandbox.
  3. APK Inspector: merupakan kumpulan tools dengan menggunakan satu interface. APKInspector memiliki JAD untuk Java decompiler.
  4. Dex2Jar: tool untuk decompiler file .apk.
  5. JD-GUI: tool untuk decompiler file .apk dalam GUI format.
  6. Santoku: merupakan kumpulan tools yang selain berfungsi sebagai mobile phone forensics tools juga berfungsi sebagai tool untuk analysis malware.

Berikut ini URL/link untuk mengunduh software-software tersebut:

No Aplikasi URL
1 Android Developer Toolkit – Android Studio (SDK Tools) https://developer.android.com/studio/index.html
2 Convert .dex file to .jar file – Dex2Jar https://sourceforge.net/projects/dex2jar/
3 Java Decompiler – JD GUI http://www.softpedia.com/get/Programming/Debuggers-Decompilers-Dissasemblers/JD-GUI.shtml
4 Java Development Toolkit http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html
5 Santoku https://santoku-linux.com/

Tinjauan Umum

Ancaman Mobile Malware

Jumlah pengguna telepon seluler terutama smartphone yang sangat besar dalam skala global, membuat para pengembang malicious software atau malware menjadikan pengguna telepon seluler sebagai target utama mereka.  Sebagai gambaran, pada tahun 2013 terdapat penjualan telepon seluler sebanyak 1,870 milyar dan sebanyak 1 milyar diantaranya merupakan smartphone.  Disisi lain, Gartner memperkirakan terdapat penurunan penjualan personal computer (PC) sebanyak 7,6% pada tahun 2013 dan diperkirakan trend ini akan berlanjut.  Sehingga dapat diprediksi terdapat kenaikan yang signifikan dari pengguna telepon seluler yang menggantikan penggunaan PC.  Fakta ini menjadi alasan utama mengapa para cybercriminal mengembangkan mobile malware secara intensif.

Riset dari Juniper Networks menunjukkan adanya peningkatan jumlah mobile malware sejak tahun 2010. Yaitu terdapat peningkatan sebanyak 155% antara tahun 2010 dan 2011 dan peningkatan sebanyak 614% antara bulan Maret 2012 hingga bulan Maret 2013.  Figur 1 menunjukkan adanya lonjakan jumlah Android malware sample tersebut.  Lonjakan ini seiring dengan lonjakan dari jumlah pengguna Android smartphone di dunia.

Figur 1: Pertumbuhan Android Malware Sample (periode November 2010-Januari 2014)

Slide1

Lembaga National Strategic Assessment (NSA) di Inggris melaporkan bahwa negara tersebut menderita kerugian lebih dari £16 milyar pada tahun 2015 dengan ancaman utama bersumber dari mobile malware yang menargetkan pengguna aplikasi finansial seperti mobile banking seiring dengan peningkatan jumlah pengguna aplikasi tersebut.  (http://www.scmagazineuk.com/uk-cyber-crime-exceeds-16-billion-losses-with-mobile-malware-a-major-threat/article/422510/)

Mobile Malware dan Platform

Data mengenai perkembangan mobile malware dan platform telepon seluler juga menunjukkan perkembangan dan perubahan yang menarik.  Pada tahun 2010, Nokia-Symbian OS dengan platform Oracle Jave merupakan target utama dari mobile malware.  Pada tahun 2011 terdapat pergeseran seiring dengan perkembangan dari pengguna smartphone Android.  Pada akhir bulan Maret 2013,  hampir 92% dari mobile malware menargetkan handset yang menggunakan Android sebagai sistem operasinya.

Menurut Kapersky Labs,  setiap bulannya terdapat 3.000 mobile malware yang baru yang menyerang handset Android. Sehingga pada akhir tahun 2012, hampir 99% populasi mobile malware menargetkan handset Android.   Oleh karena itu, masuk akal jika examiner harus memahami mobile malware yang menyerang Android.  Terutama yang berkaitan dengan kemampuan menganalisis mobile malware tersebut.

Mobile malware juga terdapat pada platform yang lain seperti iOS.  Dalam beberapa kasus terdahulu, malicious applications juga terdapat pada App Store walaupun jumlahnya relatif sedikit.  Terdapat beberapa faktor pendukung yang menyebabkan Android menjadi target utama dari mobile malware selain jumlah penggunanya yang sangat besar.  Faktor melekat seperti open-source, banyaknya jenis hardware (fragmented) yang ada di pasaran, tidak ketatnya proses verifikasi untuk menempatkan aplikasi di Google Playstore dan tidak adanya ‘push-factor’ bagi pengguna untuk meng-update versi Android menjadi yang terkini merupakan beberapa faktor pendukung handset Android menjadi target utama mobile malware.

Tipe Mobile Malware dan Potentially Unwanted Applications (PUA)

Selain mobile malware yang mengancam pengguna telepon seluler, sesungguhnya terdapat ancaman lain berupa potentially unwanted application (PUA).  Selanjutnya terdapat jenis PUA yang hanya bersifat mengganggu seperti (1) Adware (iklan), tetapi ada jenis lain seperti (2) Trackware yang mengancam privasi serta (3) Spyware yang juga dapat digunakan untuk mengumpulkan data terkait aktivitas pengguna dan bahkan data yang ada di dalam telepon seluler.

Jenis-jenis mobile malware tidak berbeda dengan jenis-jenis yang ada pada computer malware seperti Backdoor, Trojan, Worm dan Ransomware.  Tujuan dari mobile malware tersebut relatif sama dengan computer malware.  Backdoor adalah program yang dapat memberikan akses secara jauh tanpa adanya otorisasi dari pengguna atau pihak-pihak yang valid.  Trojans sebagai satu program dapat memiliki lebih dari satu tujuan serangan.  Misalnya mencuri data, mengubah user control atas handset, atau menggunakan sumber daya dari handset tanpa diketahui oleh pengguna.  Terdapat beberapa jenis dari Trojan, yaitu trojan-dropper, trojan-spy, trojan-downloader dan lain-lain.  Worms merupakan program yang dapat mereplikasi dirinya sendiri sehingga dapat memperbanyak jumlah worm ketika satu handset terhubung dengan handset lainnya atau ketika dihubungkan dengan satu media penyimpanan.

Slide2

Figur 2 menunjukkan adanya pertumbuhan yang pesat dari Adware dan RiskTool pada tahun 2014 dan 2015.

Slide3

Figur 3: Distribusi Mobile Malware yang Baru pada tahun 2014 & 2015

Trend Terakhir

Menurut laporan yang disusun oleh Kapersky pada tahun 2015, terdapat beberapa fakta yang ditemukan sepanjang tahun tersebut:

  • 961.727 malicious installation packages;
  • 884,774 new malicious mobile program-tiga kali lipat dari tahun 2014;
  • 030 mobile banking Trojans.

Beberapa trend yang ada pada tahun 2015:

  • Peningkatan jumlah malicious attachments yang sukar dihapus oleh pengguna;
  • Cybercriminal cenderung menggunakan teknik phishing agar tampak seperti aplikasi yang valid;
  • Peningkatan dalam jumlah ransomware;
  • Penggunaan super-user rights untuk aggresive advertising;
  • Peningkatan jumlah malware pada iOS
  • Tujuan mendapat keuntungan finansial (monetization motives).