Baru-baru ini perusahaan keamanan Kaspersky Lab, menemukan Sebuah malware Android baru yang
melakukan serangkaian aktivitas berbahaya, termasuk menampilkan iklan tanpa
sepengetahuan pengguna, kirim pesan ke sembarang nomor, jadi botnet hingga
berlangganan layanan berbayar.
Tak
hanya itu, malware ini juga mampu mengambil alih smartphone dan
menggunakannya untuk menambang cryptocurrency (mata
uang digital).
Yang
mengerikan, kemampuan menambang cryptocurrency tersebut
berpotensi merusak smartphonesecara fisik
ketika sudah terinfeksi.
Malware baru yang dijuluki "jack of all trades" ini patut
diwaspadai karena kemampuannya yang beragam.
Kaspersky Lab menamai malware baru ini Trojan.AndroidOS.Loapi.
Salah satu kemampuan yang paling menonjol, aplikasi Loapi
berisikan modul yang bisa menambang Monero, jenis mata uang digital baru yang
memang kurang dikenal dari pada Bitcoin atau uang digital lainnya.
Dengan
modul ini pembuat malware dapat
'menghasilkan' koin baru dengan menyedot listrik dan memaksa kinerja hardware
smartphone yang sudah terinfeksi.
Dalam
uji coba yang dilakukan oleh tim peneliti Kaspersky Lab, baterai smartphone yang
terinfeksi malware Loapi selama dua hari ini
sampai membengkak.
Seperti yang sudah kamu
ketahui, beberapa bulan terakhir ini telah terjadi lonjakan terhadap situs dan
aplikasi yang berusaha menguras tenaga CPU dan listrik untuk menjalankan kode
penambang mata uang digital tersebut.
Di
beberapa kasus yang sudah terjadi saat ini, pengguna baru mengetahui telah
'dimanfaatkan' oleh aplikasi atau laman web untuk menambang saat perangkat yang
digunakan mulai lemot dan menyedot daya yang lebih besar dari biasanya.
Adapun
Loapi akan mengirimkan rentetan permintaan kepada pengguna untuk mendapatkan
akses administrator. Setelah itu, Loapi bakal mempersulit korban untuk
meng-install aplikasi keamanan untuk membersihkan ponsel dari malware.
Malware juga
dapat berlangganan telepon ke layanan premium dan sembunyi-sembunyi mengirimkan
kode ke pesan SMS untuk mengkonfirmasi permintaan.
Ia
juga memungkinkan hacker untuk
menggunakan smartphone yang terinfeksi sebagai 'kaki
tangan' dalam melancarkan serangan DDoS. Dan ini menampilkan aliran iklan yang
konstan.
Hingga
sat ini, belum ada indikasi aplikasi Loapi pernah muncul di Google Play.
"Kami
belum pernah melihat malware seperti
ini sebelumnya," tulis tim peneliti Kaspersky Lab.
Mereka
menambahkan, "Satu-satunya yang kurang dari kemampuan malware ini
adalah kemampuan untuk memata-matai pengguna, namun dengan arsitektur modular
Trojan saat ini hanya tinggal menunggu waktu saja," sambungnya.
Bagaimana
Loapi Menginfeksi Targetnya
Sampel Loapi didistribusikan melalui media
iklan barner. File berbahaya diunduh setelah pengguna
dialihkan ke sumber web jahat penyerang. Kami menemukan lebih
dari 20 sumber daya tersebut, yang domainnya merujuk pada solusi antivirus
populer dan bahkan situs porno terkenal.
Seperti yang bisa kita
lihat dari gambar di bawah ini, Loapi terutama bersembunyi di balik topeng
solusi antivirus atau aplikasi konten dewasa:
Setelah memperoleh hak istimewa admin,
aplikasi jahat tersebut menyembunyikan ikonnya di menu atau mensimulasikan
berbagai aktivitas antivirus, bergantung pada jenis aplikasi yang disamarkan
sebagai:
Perlindungan diri
Loapi secara agresif memperjuangkan usaha
untuk mencabut izin manajer perangkat. Jika pengguna mencoba
untuk menghapus izin ini, aplikasi jahat akan mengunci layar dan menutup
jendela dengan pengaturan manajer perangkat, dengan menjalankan kode berikut:
Serta teknik yang cukup standar ini untuk
mencegah pengangkatan, kami juga menemukan fitur menarik dalam mekanisme
perlindungan diri. Trojan mampu menerima dari server C &
C daftar aplikasi yang menimbulkan bahaya. Daftar ini digunakan
untuk memantau pemasangan dan peluncuran aplikasi berbahaya tersebut. Jika salah satu aplikasi terinstal atau diluncurkan, maka Trojan
menunjukkan pesan palsu yang mengklaim telah mendeteksi beberapa malware dan,
tentu saja, meminta pengguna untuk menghapusnya:
Pesan ini ditampilkan dalam satu
lingkaran, jadi meskipun pengguna menolak tawaran tersebut, pesan akan
ditampilkan berulang-ulang sampai pengguna akhirnya menyetujui dan menghapus
aplikasi tersebut.
Arsitektur berlapis
Mari kita lihat arsitektur Trojan secara
lebih rinci:
1. Pada tahap awal, aplikasi berbahaya memuat file dari folder
"aset", menerjemahkannya menggunakan Base64 dan kemudian mendekripsi menggunakan
operasi XOR dan hash tanda tangan aplikasi sebagai kunci. File DEX dengan payload, yang diambil setelah operasi ini, dimuati dengan
ClassLoader.
2. Pada tahap kedua, aplikasi jahat mengirimkan JSON dengan informasi tentang
perangkat ke server pusat C & C hxxps: //api-profit.com:
Perintah dalam format
berikut diterima sebagai tanggapan dari server:
Dimana
"install" adalah daftar modul ID yang harus didownload dan
diluncurkan; "Removees" adalah daftar ID
modul yang harus dihapus; "Domain" adalah daftar domain
yang akan digunakan sebagai server C & C; "ReservedDomains"
adalah daftar domain tambahan yang dicadangkan; "Hic" adalah
bendera yang menunjukkan bahwa ikon aplikasi harus disembunyikan dari pengguna; dan "maliciousPackages" adalah daftar aplikasi yang harus dicegah
untuk diluncurkan dan dipasang untuk tujuan perlindungan diri sendiri.
3. Pada tahap ketiga, modul diunduh dan diinisialisasi. Semua fungsi jahat tersembunyi di dalamnya. Mari kita lihat lebih
dekat modul yang kami terima dari server cybercriminals.
Modul iklan
Tujuan dan fungsionalitas : modul ini digunakan untuk tampilan iklan yang agresif di perangkat
pengguna. Hal ini juga dapat digunakan untuk
diam-diam meningkatkan peringkat. Fungsi:
- Tampilkan
iklan dan spanduk video
- Buka
URL yang ditentukan
- Buat
jalan pintas pada perangkat
- Tampilkan
notifikasi
- Buka
halaman di jejaring sosial populer, termasuk Facebook, Instagram, VK
- Download
dan instal aplikasi lainnya
Contoh tugas untuk menampilkan iklan yang
diterima dari server:
Saat menangani tugas ini, aplikasi
mengirimkan permintaan tersembunyi kepada User-Agent dan Referrer tertentu ke
hxxps halaman web: //ronesio.xyz/advert/api/interim, yang pada gilirannya
mengarahkan ke halaman dengan iklan.
Modul SMS
Tujuan dan fungsionalitas: modul ini digunakan untuk manipulasi yang berbeda dengan pesan
teks. Secara berkala mengirimkan permintaan ke
server C & C untuk mendapatkan pengaturan dan perintah yang relevan. Fungsi:
- Kirim
kotak masuk pesan SMS ke server penyerang
- Balas
pesan masuk sesuai topeng yang ditentukan (masker diterima dari server C
& C)
- Kirim
pesan SMS dengan teks tertentu ke nomor tertentu (semua informasi diterima
dari server C & C)
- Hapus
pesan SMS dari kotak masuk dan folder terkirim sesuai topeng yang
ditentukan (masker diterima dari server C & C)
- Jalankan
permintaan ke URL dan jalankan kode Javascript yang ditentukan di halaman
yang diterima sebagai tanggapan (fungsi lawas yang kemudian dipindahkan ke
modul terpisah)
Modul perayapan web
Maksud dan fungsinya: modul ini digunakan untuk eksekusi kode Javascript tersembunyi pada
halaman web dengan billing WAP agar bisa berlangganan pengguna ke berbagai
layanan. Terkadang operator seluler mengirim pesan
teks yang meminta konfirmasi langganan. Dalam kasus seperti itu
Trojan menggunakan fungsi modul SMS untuk mengirim balasan dengan teks yang
dibutuhkan. Selain itu, modul ini bisa digunakan untuk
merayapi halaman web. Contoh tugas merayapi halaman web yang
diterima dari server ditunjukkan di bawah ini:
Modul ini bersama dengan modul iklan
mencoba untuk membuka sekitar 28.000 URL unik pada satu perangkat selama
percobaan 24-jam kami.
Modul proksi
Maksud dan fungsinya: modul ini merupakan implementasi dari server proxy HTTP yang
memungkinkan penyerang untuk mengirim permintaan HTTP dari perangkat korban. Ini bisa digunakan untuk mengatur serangan DDoS terhadap sumber daya
tertentu. Modul ini juga dapat mengubah jenis
koneksi internet pada perangkat (dari lalu lintas mobile ke Wi-Fi dan
sebaliknya).
Pertambangan Monero
Tujuan dan fungsinya: modul ini menggunakan versi Android minerd untuk melakukan
monototype Monero (XMR) cryptocurrency mining. Pertambangan diawali
dengan menggunakan kode di bawah ini:
Kode tersebut menggunakan argumen berikut:
- alamat
url - mining pool, "stratum + tcp:
//xmr.pool.minergate.com: 45560"
- ini -
pengguna - nama pengguna, nilai yang dipilih secara acak dari daftar
berikut: "lukasjeromemi@gmail.com",
"jjopajopaa@gmail.com", "grishaobskyy@mail.ru",
"kimzheng@yandex.ru", "hirt.brown @ gmx.de ","
swiftjobs@rambler.ru "," highboot1@mail333.com ","
jahram.abdi@yandex.com "," goodearglen@inbox.ru ", girlfool@bk.ru
- kata
sandi - nilai konstan, "qwe"
Ikatan lama
Selama penyelidikan kami, kami menemukan
hubungan potensial antara Loapi dan Trojan.AndroidOS.Podec . Kami mengumpulkan beberapa bukti untuk
mendukung teori ini:
- Mencocokkan
alamat IP server C & C. Alamat
saat server Loapi C & C yang aktif diselesaikan dengan DNS ke
5.101.40.6 dan 5.101.40.7. Tetapi
jika kita melihat sejarahnya, kita bisa melihat alamat IP lain yang telah
diselesaikan URL ini sebelumnya:
Awalnya, URL ini
diputuskan pada alamat IP 91.202.62.38. Jika kita menganalisis
sejarahcatatan DNS yang memutuskan alamat ini, kita akan melihat yang berikut
ini:
Seperti yang dapat kita
lihat dari catatan, pada tahun 2015 (ketika Podec aktif), alamat IP ini
dipecahkan dari berbagai domain yang dihasilkan, dan banyak di antaranya
digunakan di Podec (misalnya, obiparujudyritow.biz, dalam sampel 0AF37F5F07BBF85AFC9D3502C45B81F2).
- Mencocokkan
bidang unik pada tahap pengumpulan informasi awal. Kedua
Trojans mengumpulkan informasi dengan struktur dan konten yang serupa dan
mengirimkannya dalam format JSON ke server penyerang selama tahap awal. Kedua
objek JSON memiliki field "Param1", "Param2" dan
"PseudoId". Kami
melakukan pencarian di cluster ElasticSearch internal kami - di mana kami
menyimpan informasi tentang aplikasi bersih dan berbahaya - dan menemukan
bahwa bidang ini hanya digunakan di Podec dan Loapi.
- Obfuscation
serupa.
- Cara
yang serupa untuk mendeteksi SU pada perangkat.
- Fungsi
serupa (keduanya bisa berlangganan pengguna ke layanan berbayar).
Tak satu pun dari argumen ini dapat
dianggap sebagai bukti konklusif dari teori kami, namun bersamaan mereka menyarankan
bahwa ada kemungkinan besar bahwa aplikasi berbahaya Podec dan Loapi diciptakan
oleh kelompok kriminal cyber yang sama.
Kesimpulan
Loapi adalah perwakilan yang menarik dari
dunia aplikasi Android yang berbahaya. Penciptanya telah
menerapkan hampir seluruh spektrum teknik untuk menyerang perangkat: Trojan
dapat berlangganan pengguna ke layanan berbayar, mengirim pesan SMS ke nomor
mana pun, menghasilkan lalu lintas dan menghasilkan uang dari iklan yang
ditampilkan, menggunakan kekuatan komputasi perangkat untuk menambang
kripto-eskalasi, serta melakukan berbagai tindakan di internet atas nama user /
device. Satu-satunya yang hilang adalah spionase
pengguna, namun arsitektur modular Trojan ini berarti memungkinkan menambahkan
fungsionalitas semacam ini setiap saat.
PS
Sebagai bagian dari analisis malware
dinamis kami memasang aplikasi berbahaya di perangkat uji. Gambar di bawah menunjukkan apa yang terjadi setelah dua hari:
Karena beban konstan yang disebabkan oleh modul penambangan dan lalulintas yang dihasilkan, baterai melotot dan merusak penutup telepon.
C & C
ronesio.xyz (modul
iklan)
api-profit.com:5210
(modul SMS dan modul pertambangan)
mnfioew.info
(perayap web)
mp-app.info (modul
proxy)
Domain
Daftar sumber web
dari mana aplikasi berbahaya tersebut diunduh:
| Domain | IP |
| a2017-security.com | 91.202.62.45 |
| alert.com–securitynotice.us | 104.18.47.240,104.18.46.240 |
| alibabadownload.org | 91.202.62.45 |
| antivirus-out.net | 91.202.62.45 |
| antivirus360.ru | 91.202.62.45,31.31.204.59,95.213.165.247, 194.58.56.226,194.58.56.50 |
| clean-application.com | 91.202.62.45 |
| defenderdevicebiz.biz | 104.27.178.88,104.27.179.88 |
| fixdevice.biz | 104.18.45.199,104.18.44.199 |
| highspeard.eu | 91.202.62.45 |
| hoxdownload.eu | 91.202.62.45 |
| lilybrook.ru | 104.24.113.21,104.24.112.21 |
| nootracks.eu | 91.202.62.45 |
| noxrow.eu | 91.202.62.45 |
| s4.pornolub.xyz | 91.202.62.45 |
| sidsidebottom.com | 9.56.163.55,104.27.128.72 |
| titangelx.com | 104.27.171.112,104.27.170.112 |
| trust.com-mobilehealth.biz | 04.27.157.60,104.27.156.60 |
| trust.com-securitynotice.biz | 104.31.68.110,104.31.69.110 |
| violetataylor.ru | 104.31.88.236,104.31.89.236 |
Mantap mas fiter, Artike yang lengkap dan jelas..
ReplyDelete