Marcher – Android banking Trojan

Semester kedua di tahun 2016 hingga periode awal tahun 2017 ditandai dengan kehadiran salah satu varian mobile banking Trojan yang dinamakan “Marcher”.  Sebetulnya cukup banyak varian mobile banking Trojan lainnya di tahun 2016 hingga tahun 2017, tetapi Marcher sangat menarik perhatian karena beberapa hal sebagai berikut:

a. Secara teknis mengungguli varian mobile banking Trojan yang beredar hingga saat ini.  Terutama kemampuannya menyerang device yang menggunakan Android 6 yang terbilang ‘kuat’;

b. Memiliki fitur ‘Dynamic Overlay’ yang memungkinan adanya tampilan yang dinamis seperti Google Play, Facebook dan juga Mobile Banking Apps;

c. Penghindaran scanning Anti-Virus.  Terdapat fitur yang akan mencegah AV yang terdapat dalam smartphone untuk melakukan scanning;

d. Permintaan Administrative permissions/privilege yang canggih.  Malware tersebut akan terus menerus meminta user untuk memberikan administrative rights hingga user akhirnya memberikan.  Teknik yang sama umumnya digunakan oleh ransomware.

Target dari Marcher adalah lembaga finansial di Jerman, Perancis, UK dan US.  Menurut para peneliti, setidaknya terdapat 9 ‘aktor’ dibelakang Marcher yang memiliki botnets nya masing-masing yaitu:

  • flexdeonblake
  • angelkelly
  • MUCHTHENWERESTO
  • balls51
  • CHECKPIECEUNTIL
  • crystalknight
  • jadafire
  • sinnamonlove
  • CONTAINSURE

Para cybercriminal di belakang Marcher tersebut tidak saja mendapatkan keuntungan finansial dari ‘mencuri’ tetapi juga menjual Trojan tersebut ke kelompok kriminal yang lain serta menjual fitur-fitur dari Marcher seperti SOCKS module dan injects terbaru.

Referensi:

https://www.securify.nl/blog/SFY20170202/marcher___android_banking_trojan_on_the_rise.html

http://news.softpedia.com/news/android-banking-trojan-marcher-targets-dozens-of-apps-bypasses-antivirus-512871.shtml

Hoax SMS

 

 

Screenshot_1                                                                                                Seorang kawan yang tinggal di Perth meng-upload berita terkait Hoax SMS yang diterima oleh sebagian orang di Australia.  Tampaknya SMS ini ditujukan bagi para nasabah bank ANZ.  Sebetulnya teknik Social Engineering dalam bentuk Smishing ini bukan lah satu teknik yang baru.  Intinya sang target diarahkan untuk mengklik link yang dapat berisi semacam daftar isian dimana nasabah harus memasukkan credential seperti userid dan password online banking dan/atau semacam mobile banking Trojan yang nantinya dapat digunakan untuk ‘mencuri’ uang milik nasabah.

Setelah saya cek link yang ada dalam SMS tersebut, tampaknya malicious link tersebut sudah di-suspend oleh pejabat berwenang di Rusia.  Seperti biasa, para cybercrime menempatkan malicious website mereka atau Command and Control server dari malware di Rusia.  Sudah menjadi rahasia umum, jika sebagian besar cybercriminal ada di Rusia, Ukrainia dan China.

Screenshot_2

Indonesia sendiri merupakan target utama dari para cybercriminal, sehingga para pengguna online mobile banking dan juga pengguna smartphone harus berhati-hati ketika menerima SMS, MMS atau email yang meminta untuk meng-klik satu URL/link.  Lebih baik kita menanyakan secara langsung ke bank yang bersangkutan.