Malware Baru Mengganti Aplikasi Android Legit Dengan Yang Palsu Di 25 Juta Perangkat - Otak Kita

Malware Baru Mengganti Aplikasi Android Legit Dengan Yang Palsu Di 25 Juta Perangkat



Otak Kita - Apakah Anda yakin aplikasi WhatsApp yang Anda gunakan di perangkat Android Anda sah, bahkan jika itu berfungsi dengan baik seperti yang dimaksudkan?

... Atau aplikasi JioTV, AppLock, HotStar, Flipkart, Opera Mini atau Truecaller — jika Anda sudah menginstal semua ini?

Saya menanyakan hal ini karena para peneliti keamanan siber baru-baru ini mengungkapkan rincian yang membuka mata tentang kampanye malware Android yang meluas di mana para penyerang diam-diam mengganti aplikasi sah yang terpasang dengan versi jahat mereka di hampir 25 juta ponsel.

Sekarang pertanyaan penting di sini adalah bagaimana mereka melakukannya dan mengapa?

Menurut para peneliti di Check Point, penyerang mendistribusikan jenis baru malware Android yang menyamarkan dirinya sebagai pengeditan foto, hiburan dewasa, atau aplikasi game yang terlihat tidak bersalah dan tersedia melalui toko aplikasi pihak ketiga yang banyak digunakan.

Dijuluki Agen Smith , malware mengambil keuntungan dari beberapa kerentanan Android, seperti cacat Janus dan cacat Man-in-the-Disk , dan menyuntikkan kode berbahaya ke file APK dari aplikasi yang ditargetkan yang diinstal pada perangkat yang dikompromikan dan kemudian secara otomatis pasang / perbarui tanpa sepengetahuan atau interaksi korban.

    "Tidaklah cukup bagi keluarga malware ini untuk menukar hanya satu aplikasi yang tidak bersalah dengan double yang terinfeksi. Ia melakukannya untuk setiap dan setiap aplikasi pada perangkat selama nama paket berada pada daftar mangsa," tulis para peneliti dalam laporan mereka yang diterbitkan Rabu.

    "Seiring waktu, kampanye ini juga akan menginfeksi perangkat yang sama, berulang kali, dengan tambalan jahat terbaru. Ini mengarahkan kami untuk memperkirakan ada lebih dari 2,8 miliar infeksi total, pada sekitar 25 Juta perangkat unik, yang berarti bahwa rata-rata, setiap korban akan menderita sekitar 112 swap aplikasi yang tidak bersalah. " 



Malware, yang diyakini peneliti terikat dengan perusahaan yang berbasis di China, telah dirancang untuk keuntungan finansial dengan menayangkan iklan jahat kepada para korban.

Bagaimana Cara Kerja Agen Malware Smith?

Setelah pemasangan aplikasi yang di-boobytrapped, malware Agent Smith memanfaatkan rantai infeksi tiga tahap dan berisi modul berbeda untuk setiap langkah, yang kerjanya dijelaskan di bawah ini:

1.) Loader Module - Aplikasi awal yang mendistribusikan malware berisi modul bernama Loader, yang tujuannya hanya untuk mendekripsi, mengekstrak, dan menjalankan modul tahap kedua bernama Core.

2.) Modul Inti - Setelah dieksekusi, modul Inti berkomunikasi dengan server C&C penyerang untuk menerima daftar aplikasi populer yang perlu ditargetkan.



Jika menemukan kecocokan yang terinstal di perangkat korban, modul Core mencoba menginfeksi APK yang ditargetkan menggunakan kerentanan Janus atau dengan hanya mengkompilasi ulang APK dengan muatan berbahaya.

Selanjutnya, untuk menginstal APK yang dimodifikasi secara otomatis dan mengganti versi aslinya tanpa persetujuan pengguna, penyerang memanfaatkan serangkaian kerentanan 1 hari, termasuk serangan man-in-the-disk .

3.) Modul Booting - Modul ini termasuk dalam muatan berbahaya yang dibundel dengan aplikasi asli dan bekerja sama dengan modul Loader. Itu mengekstrak dan mengeksekusi payload berbahaya, yang disebut modul Patch ketika seorang korban menjalankan aplikasi yang dimodifikasi.

4.) Modul Patch - Modul patch telah dirancang untuk mencegah aplikasi yang dimodifikasi dari mendapatkan pembaruan yang sah, yang jika diinstal, akan mengembalikan semua perubahan berbahaya.

    "Selagi menginvestasikan banyak sumber daya dalam pengembangan malware ini, aktor di belakang Agen Smith tidak ingin pembaruan nyata untuk menghapus semua perubahan yang dibuat, jadi di sinilah modul Patch masuk untuk bermain"
    "Dengan tujuan menonaktifkan pembaruan otomatis untuk aplikasi yang terinfeksi, modul ini mengamati direktori pembaruan untuk aplikasi asli dan menghapus file begitu muncul." 


6.) Modul AdSDK - Ini adalah muatan aktual yang menampilkan iklan kepada para korban untuk keuntungan finansial dan selanjutnya juga menginfeksi perangkat dengan keluarga adware lainnya.

Namun, para peneliti memperingatkan bahwa malware modular ini dapat dengan mudah diadaptasi untuk tujuan yang jauh lebih mengganggu dan berbahaya, seperti mencuri informasi sensitif — dari pesan pribadi ke kredensial perbankan dan banyak lagi.

Para peneliti awalnya menemukan malware Agent Smith pada awal 2019, yang terutama ditemukan menargetkan perangkat Android di India (dengan 15 juta perangkat yang terinfeksi) dan negara-negara Asia terdekat lainnya seperti Pakistan, Bangladesh, Indonesia, dan Nepal.



Namun, malware tersebut juga memengaruhi sejumlah perangkat di Amerika Serikat (lebih dari 300.000 perangkat yang terinfeksi), Australia (lebih dari 140.000 perangkat yang terinfeksi) dan Inggris (lebih dari 135.000 perangkat yang terinfeksi).

Selain toko aplikasi pihak ketiga, peneliti juga menemukan setidaknya 11 aplikasi yang terinfeksi di Google Play Store dalam beberapa bulan terakhir yang mengandung komponen Agent Smith yang berbahaya namun tidak aktif.

Ini jelas menunjukkan bahwa aktor-aktor ancaman di balik kampanye malware ini juga berusaha menemukan cara di platform unduhan aplikasi seluler Google untuk menyebarkan adware mereka. Google dilaporkan telah menghapus semua aplikasi dari tokonya.

Karena Agen Smith sebagian besar telah menginfeksi pengguna yang mengunduh aplikasi dari toko aplikasi pihak ketiga, pengguna sangat disarankan untuk selalu mengunduh aplikasi dari toko aplikasi tepercaya untuk mengurangi risiko infeksi. Juga, unduh aplikasi hanya dari pengembang tepercaya.

Pengguna juga disarankan untuk menghapus aplikasi yang mereka curigai berbahaya dengan menuju ke Menu Pengaturan, mengklik Aplikasi atau Manajer Aplikasi, dan kemudian Gulir ke aplikasi yang dicurigai dan hapus instalannya.

Karena kerentanan utama Agen Smith adalah mengeksploitasi tanggal kembali ke 2017 dan telah ditambal, pengembang aplikasi seluler disarankan untuk menerapkan APK Signature Scheme V2 terbaru untuk mencegah aplikasi jahat meningkatkan kerentanan Janus Android terhadap aplikasi mereka.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel