PluginPhantom: Trojan Baru Di Android Yang Memanfaatkan Framework DroidPlugin

 

Tim Peneliti Malware di Palo Alto Networks berhasil mendeteksi trojan jenis baru di android yang diberi nama PluginPhantom. Alasan dari penamaan ini karena kemampuan dari Trojan tersebut yang berhasil memanfaatkan FrameWork DroidPlugin untuk menjalankan aplikasi berbahaya. FrameWork DroidPlugin sendiri adalah sebuah framework open-source yang bisa menjalankan aplikasi lain secara virtual diatas aplikasi utamanya, aplikasi virtual ini kemudian dinamakan plugin. Kemampuan utama dari DroidPlugin ini adalah tidak dibutuhkannya instalasi dari aplikasi virtual atau plugin yang akan dijalankan.

PluginPhantom kemudian memanfaatkan kemampuan plugin dari DroidPlugin ini untuk menghindari deteksi dari program antivirus dan program keamanan lainnya. PluginPhantom menjalankan berbagai aplikasi berbahaya secara virtual sebagai plugin tanpa harus menginstallnya satu persatu. Masing-masing aplikasi berbahaya tersebut dikendalikan oleh satu aplikasi utama yakni aplikasi PluginPhantom itu sendiri. Kemampuan ini memberikan keleluasaan bagi PluginPhantom untuk melakukakn update terhadap aplikasi berbahaya yang sedang berjalan tanpa perlu melakukan install ulang.

Infeksi dari Trojan ini dimulai ketika pengguna baik secara sengaja atau tidak menginstall aplikasi yang telah terinfeksi PluginPhantom. Aplikasi utama ini kemudian disebut host yang akan menjalankan berbagai plugin berbahaya yang sebelumnya telah berada pada resource aplikasi host tersebut. Setiap plugin yang dijalankan memiliki fungsinya masing-masing yang berbeda satu sama lain

sumber gambar: http://researchcenter.paloaltonetworks.com
sumber gambar: http://researchcenter.paloaltonetworks.com

Tim dari Palo Alto Networks berhasil mendeteksi 9 plugin berbahaya yang dijalankan oleh aplikasi host ini. Dari 9 plugin tersebut terdapat 3 plugin yang berfungsi sebagai inti yakni plugin task, update dan online. Sementara 6 plugin sisanya akan menjalankan tugas berbahaya sesuai namannya yakni plugin file, location, contact, camera, radio, dan wifi.

Aplikasi host mempunyai kontrol secara penuh terhadap semua plugin tersebut termasuk memberikan perintah atau command. Pada kondisi awal ketika aplikasi host ini berjalan dia akan langsung menjalankan kesembilan plugin berbahaya tersebut

Plugin online bertugas untuk terhubung dengan server Command and Control (C2 atau CnC) untuk kemudian mengupload informasi terkait perangkat yang telah berhasil diinfeksinya. Di fase awal plugin ini akan melakukan inisiasi terhadap server C2 melalui protokol UDP untuk memastikan jika server masih tersedia. Selanjutnya plugin ini akan menerima command dari server C2 melalui WebSocket

Plugin Task berfungsi sebagai jembatan antara aplikasi host dan plugin yang lain. Tergantung dari command yang diberikan oleh host, plugin task akan meneruskan command tersebut ke plugin yang sesuai dengan command tersebut untuk melakukan aktifitas berbahaya. Selain itu plugin task juga bertugas untuk mengupload semua data yang berhasil dicuri dari perangkat android yang telah diinfeksi dan dikirimkan melalui WebSocket ke server C2. Plugin task juga bisa melakukan update terhadap semua plugin yang lain termasuk dirinya sendiri jika mendapatkan command update dari aplikasi host sebelumnya. Setelah update diterima, plugin task akan meminta aplikasi host untuk melakukan reload terhadap semua plugin tanpa perlu melakukan install ulang.

Tujuan utama dari Trojan ini adalah melakukan pencurian data dan informasi dari perangkat yang berhasil diinfeksinya. Melalui 6 pluginnya yang lain, aplikasi host dapat memberikan command yang spesifik untuk mencuri berbagai informasi.

  • Plugin File dipakai untuk melakukan pencurian berbagai file yang berada pada perangkat
  • Plugin Location digunakan untuk mendapatkan informasi lokasi dari perangkat
  • Plugin Contact dipakai untuk mencuri data SMS, riwayat telepon, informasi kontak, dan melakukan penyadapan terhadap telepon masuk dari nomor tertentu
  • Plugin Camera dipakai untuk mengambil foto baik dari kamera depan maupun belakang termasuk juga mengambil skrinsut dari tampilan layar. Untuk menghindari kecurigaan korban, plugin ini menggunakan frame yang sangat kecil untuk preview fotonya saat melakukan pengambilan foto melalui kamera
  • Plugin Radio melakukan perekaman suara secara diam-diam baik untuk telepon masuk atau suara lain tergantung dari command yang diberikan dari server
  • Plugin WIFI dipakai untuk mencuri informasi seputar WIFI seperti SSID, password, IP Address, dan MAC Address. Plugin ini juga dipakai untuk melihat berbagai proses yang sedang berjalan pada perangkat dan mengambil informasi riwayat peramban atau browser.

Selain melalui berbagai plugin diatas, aplikasi host juga memiliki kemampuan lain sebagai keylogger. Kemampuan ini memungkinkan aplikasi host dapat merekam semua ketikan yang dimasukkan oleh korban dan mengirimkannya ke server. Meskipun begitu, teknik ini masih belum bisa merekam dan mengambil inputan berupa password menurut Tim Peneliti di Palo Alto Networks.

Melihat kemampuan yang dimiliki oleh Trojan ini yang berhasil memanfaatkan kemampuan plugin untuk menghindari deteksi bukan tidak mungkin jika di masa yang akan datang akan lebih banyak lagi malware lain yang juga akan ikut menggunakan teknik yang sama.

Untuk perlindungan dari serangan malware anda bisa mengikuti tips berikut

Sumber:

https://netsec.id/pluginphantom-trojan-android-manfaatkan-framework-droidplugin/

Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Satu malware tipe Trojan yang diberi nama “Hummer” telah menyerang 1,2 juta perangkat mobile yang menggunakan Android sebagai sistem operasinya. Periset keamanan dari Cheetah Mobile Sec…

Source: Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Android Malware “Hummer”: Menginfeksi 1,2 Juta Perangkat

Satu malware tipe Trojan yang diberi nama “Hummer” telah menyerang 1,2 juta perangkat mobile yang menggunakan Android sebagai sistem operasinya. Periset keamanan dari Cheetah Mobile Security Research Lab bahkan menyebutkan jika Hummer sebagai family Trojan dengan sebaran serangan terbesar yang dapat menginfeksi jutaan handset Android di seluruh dunia.

Diprediksi, Hummer berasal dari Cina mengingat besarnya industry Android mobile malware disana.  Walaupun serangan per hari telah menunjukkan trend yang menurun, tetapi jumlah handset yang akan menjadi korban dari serangan ini akan tetap besar.

Tujuan dari cybercriminal yang ada dibelakang serangan Hummer adalah mendapatkan keuntungan finansial.  Diperkirakan para cybercriminal dapat meraup keuntungan sebesar $500,000 per hari dengan biaya per instalasi Hummer sebesar $0.50 per handset.

Hummer melakukan serangan dengan cara melakukan rooting atas handset untuk mendapatkan admin privileges.  Dampaknya, dalam handset akan muncul banyak pop-up ads dan instalasi aplikasi yang tidak diharapkan oleh pengguna, aplikasi games, aplikasi pornographi, dan malware lainnya.  Walaupun pengguna dapat menghapus aplikasi-aplikasi tersebut, tetapi Hummer akan melakukan re-instalasi kembali.  Bahkan ketika pengguna melakukan factory resetting sekalipun, Hummer akan tetapi ada dan melakukan re-instalasi aplikasi-aplikasi yang tidak diinstal oleh pengguna tersebut.

Menurut hasil analisis oleh Cheetah Mobile, perangkat yang telah terinfeksi Hummer dalam kurun waktu beberapa jam akan mengunduh 200 APK (aplikasi Android), dan mengkonsumsi data traffic sebesar 2 GB.  Dapat dibayangkan kerugian finansial yang diderita oleh pengguna akibat pemakaian bandwidth yang sangat besar yang disebabkan oleh Hummer.

Indonesia termasuk menjadi negara yang paling banyak jumlah korban serangkan tersebut.  Berikut ini 5 besar negara yang menjadi korban Hummer:

  1. India: 154,248
  2. Indonesia: 92,889
  3. Turkey: 63,906
  4. China: 63,285
  5. Mexico:59,192

Aplikasi Cheetah Mobile diklaim mampu menghapus Hummer.  Selain itu pengguna dapat melakukan flashing atas internal memory untuk menghapus Hummer secara permanen.

Sumber: http://www.techrepublic.com/article/1-2-million-infected-android-malware-hummer-could-be-biggest-trojan-ever/