Friday 22 December 2017

Loapi, Malware Yang Mampu Merusak Fisik Smartphone

Baru-baru ini perusahaan keamanan Kaspersky Lab, menemukan Sebuah malware Android baru yang melakukan serangkaian aktivitas berbahaya, termasuk menampilkan iklan tanpa sepengetahuan pengguna, kirim pesan ke sembarang nomor, jadi botnet hingga berlangganan layanan berbayar.

Tak hanya itu, malware ini juga mampu mengambil alih smartphone dan menggunakannya untuk menambang cryptocurrency (mata uang digital).

Yang mengerikan, kemampuan menambang cryptocurrency tersebut berpotensi merusak smartphonesecara fisik ketika sudah terinfeksi.

Malware baru yang dijuluki "jack of all trades" ini patut diwaspadai karena kemampuannya yang beragam.

Kaspersky Lab menamai malware baru ini Trojan.AndroidOS.Loapi. 

Salah satu kemampuan yang paling menonjol, aplikasi Loapi berisikan modul yang bisa menambang Monero, jenis mata uang digital baru yang memang kurang dikenal dari pada Bitcoin atau uang digital lainnya.

Dengan modul ini pembuat malware dapat 'menghasilkan' koin baru dengan menyedot listrik dan memaksa kinerja hardware smartphone yang sudah terinfeksi.

Dalam uji coba yang dilakukan oleh tim peneliti Kaspersky Lab, baterai smartphone yang terinfeksi malware Loapi selama dua hari ini sampai membengkak.

Seperti yang sudah kamu ketahui, beberapa bulan terakhir ini telah terjadi lonjakan terhadap situs dan aplikasi yang berusaha menguras tenaga CPU dan listrik untuk menjalankan kode penambang mata uang digital tersebut.

Di beberapa kasus yang sudah terjadi saat ini, pengguna baru mengetahui telah 'dimanfaatkan' oleh aplikasi atau laman web untuk menambang saat perangkat yang digunakan mulai lemot dan menyedot daya yang lebih besar dari biasanya.

Adapun Loapi akan mengirimkan rentetan permintaan kepada pengguna untuk mendapatkan akses administrator. Setelah itu, Loapi bakal mempersulit korban untuk meng-install aplikasi keamanan untuk membersihkan ponsel dari malware.

Malware juga dapat berlangganan telepon ke layanan premium dan sembunyi-sembunyi mengirimkan kode ke pesan SMS untuk mengkonfirmasi permintaan.

Ia juga memungkinkan hacker untuk menggunakan smartphone yang terinfeksi sebagai 'kaki tangan' dalam melancarkan serangan DDoS. Dan ini menampilkan aliran iklan yang konstan.

Hingga sat ini, belum ada indikasi aplikasi Loapi pernah muncul di Google Play.
"Kami belum pernah melihat malware seperti ini sebelumnya," tulis tim peneliti Kaspersky Lab.

Mereka menambahkan, "Satu-satunya yang kurang dari kemampuan malware ini adalah kemampuan untuk memata-matai pengguna, namun dengan arsitektur modular Trojan saat ini hanya tinggal menunggu waktu saja," sambungnya.

Bagaimana Loapi Menginfeksi Targetnya

Sampel Loapi didistribusikan melalui media iklan barner. File berbahaya diunduh setelah pengguna dialihkan ke sumber web jahat penyerang. Kami menemukan lebih dari 20 sumber daya tersebut, yang domainnya merujuk pada solusi antivirus populer dan bahkan situs porno terkenal. 

Seperti yang bisa kita lihat dari gambar di bawah ini, Loapi terutama bersembunyi di balik topeng solusi antivirus atau aplikasi konten dewasa:


Setelah proses instalasi selesai, aplikasi mencoba mendapatkan izin administrator perangkat, aplikasi akan meminta pengguna  untuk menyetujui aplikasi tersebut. Trojan.AndroidOS.Loapi juga memeriksa apakah perangkat berakar, namun tidak pernah menggunakan hak istimewa root - tidak diragukan lagi mereka akan digunakan dalam beberapa modul baru di masa depan.


Setelah memperoleh hak istimewa admin, aplikasi jahat tersebut menyembunyikan ikonnya di menu atau mensimulasikan berbagai aktivitas antivirus, bergantung pada jenis aplikasi yang disamarkan sebagai:



Perlindungan diri

Loapi secara agresif memperjuangkan usaha untuk mencabut izin manajer perangkat. Jika pengguna mencoba untuk menghapus izin ini, aplikasi jahat akan mengunci layar dan menutup jendela dengan pengaturan manajer perangkat, dengan menjalankan kode berikut:


Serta teknik yang cukup standar ini untuk mencegah pengangkatan, kami juga menemukan fitur menarik dalam mekanisme perlindungan diri. Trojan mampu menerima dari server C & C daftar aplikasi yang menimbulkan bahaya. Daftar ini digunakan untuk memantau pemasangan dan peluncuran aplikasi berbahaya tersebut. Jika salah satu aplikasi terinstal atau diluncurkan, maka Trojan menunjukkan pesan palsu yang mengklaim telah mendeteksi beberapa malware dan, tentu saja, meminta pengguna untuk menghapusnya:


Pesan ini ditampilkan dalam satu lingkaran, jadi meskipun pengguna menolak tawaran tersebut, pesan akan ditampilkan berulang-ulang sampai pengguna akhirnya menyetujui dan menghapus aplikasi tersebut.

Arsitektur berlapis


Mari kita lihat arsitektur Trojan secara lebih rinci:

1. Pada tahap awal, aplikasi berbahaya memuat file dari folder "aset", menerjemahkannya menggunakan Base64 dan kemudian mendekripsi menggunakan operasi XOR dan hash tanda tangan aplikasi sebagai kunci. File DEX dengan payload, yang diambil setelah operasi ini, dimuati dengan ClassLoader.

2. Pada tahap kedua, aplikasi jahat mengirimkan JSON dengan informasi tentang perangkat ke server pusat C & C hxxps: //api-profit.com:



Perintah dalam format berikut diterima sebagai tanggapan dari server:


Dimana "install" adalah daftar modul ID yang harus didownload dan diluncurkan; "Removees" adalah daftar ID modul yang harus dihapus; "Domain" adalah daftar domain yang akan digunakan sebagai server C & C; "ReservedDomains" adalah daftar domain tambahan yang dicadangkan; "Hic" adalah bendera yang menunjukkan bahwa ikon aplikasi harus disembunyikan dari pengguna; dan "maliciousPackages" adalah daftar aplikasi yang harus dicegah untuk diluncurkan dan dipasang untuk tujuan perlindungan diri sendiri.

3. Pada tahap ketiga, modul diunduh dan diinisialisasi. Semua fungsi jahat tersembunyi di dalamnya. Mari kita lihat lebih dekat modul yang kami terima dari server cybercriminals.

Modul iklan


Tujuan dan fungsionalitas : modul ini digunakan untuk tampilan iklan yang agresif di perangkat pengguna. Hal ini juga dapat digunakan untuk diam-diam meningkatkan peringkat. Fungsi:
  • Tampilkan iklan dan spanduk video
  • Buka URL yang ditentukan
  • Buat jalan pintas pada perangkat
  • Tampilkan notifikasi
  • Buka halaman di jejaring sosial populer, termasuk Facebook, Instagram, VK
  • Download dan instal aplikasi lainnya
Contoh tugas untuk menampilkan iklan yang diterima dari server:


Saat menangani tugas ini, aplikasi mengirimkan permintaan tersembunyi kepada User-Agent dan Referrer tertentu ke hxxps halaman web: //ronesio.xyz/advert/api/interim, yang pada gilirannya mengarahkan ke halaman dengan iklan.

Modul SMS

Tujuan dan fungsionalitas: modul ini digunakan untuk manipulasi yang berbeda dengan pesan teks. Secara berkala mengirimkan permintaan ke server C & C untuk mendapatkan pengaturan dan perintah yang relevan. Fungsi:
  • Kirim kotak masuk pesan SMS ke server penyerang
  • Balas pesan masuk sesuai topeng yang ditentukan (masker diterima dari server C & C)
  • Kirim pesan SMS dengan teks tertentu ke nomor tertentu (semua informasi diterima dari server C & C)
  • Hapus pesan SMS dari kotak masuk dan folder terkirim sesuai topeng yang ditentukan (masker diterima dari server C & C)
  • Jalankan permintaan ke URL dan jalankan kode Javascript yang ditentukan di halaman yang diterima sebagai tanggapan (fungsi lawas yang kemudian dipindahkan ke modul terpisah)
Modul perayapan web

Maksud dan fungsinya: modul ini digunakan untuk eksekusi kode Javascript tersembunyi pada halaman web dengan billing WAP agar bisa berlangganan pengguna ke berbagai layanan. Terkadang operator seluler mengirim pesan teks yang meminta konfirmasi langganan. Dalam kasus seperti itu Trojan menggunakan fungsi modul SMS untuk mengirim balasan dengan teks yang dibutuhkan. Selain itu, modul ini bisa digunakan untuk merayapi halaman web. Contoh tugas merayapi halaman web yang diterima dari server ditunjukkan di bawah ini:


Modul ini bersama dengan modul iklan mencoba untuk membuka sekitar 28.000 URL unik pada satu perangkat selama percobaan 24-jam kami.

Modul proksi

Maksud dan fungsinya: modul ini merupakan implementasi dari server proxy HTTP yang memungkinkan penyerang untuk mengirim permintaan HTTP dari perangkat korban. Ini bisa digunakan untuk mengatur serangan DDoS terhadap sumber daya tertentu. Modul ini juga dapat mengubah jenis koneksi internet pada perangkat (dari lalu lintas mobile ke Wi-Fi dan sebaliknya).

Pertambangan Monero

Tujuan dan fungsinya: modul ini menggunakan versi Android minerd untuk melakukan monototype Monero (XMR) cryptocurrency mining. Pertambangan diawali dengan menggunakan kode di bawah ini:


Kode tersebut menggunakan argumen berikut:
  • alamat url - mining pool, "stratum + tcp: //xmr.pool.minergate.com: 45560"
  • ini - pengguna - nama pengguna, nilai yang dipilih secara acak dari daftar berikut: "lukasjeromemi@gmail.com", "jjopajopaa@gmail.com", "grishaobskyy@mail.ru", "kimzheng@yandex.ru", "hirt.brown @ gmx.de "," swiftjobs@rambler.ru "," highboot1@mail333.com "," jahram.abdi@yandex.com "," goodearglen@inbox.ru ", girlfool@bk.ru
  • kata sandi - nilai konstan, "qwe"
Ikatan lama

Selama penyelidikan kami, kami menemukan hubungan potensial antara Loapi dan Trojan.AndroidOS.Podec . Kami mengumpulkan beberapa bukti untuk mendukung teori ini:
  • Mencocokkan alamat IP server C & C. Alamat saat server Loapi C & C yang aktif diselesaikan dengan DNS ke 5.101.40.6 dan 5.101.40.7. Tetapi jika kita melihat sejarahnya, kita bisa melihat alamat IP lain yang telah diselesaikan URL ini sebelumnya:

Awalnya, URL ini diputuskan pada alamat IP 91.202.62.38. Jika kita menganalisis sejarahcatatan DNS yang memutuskan alamat ini, kita akan melihat yang berikut ini:


Seperti yang dapat kita lihat dari catatan, pada tahun 2015 (ketika Podec aktif), alamat IP ini dipecahkan dari berbagai domain yang dihasilkan, dan banyak di antaranya digunakan di Podec (misalnya, obiparujudyritow.biz, dalam sampel 0AF37F5F07BBF85AFC9D3502C45B81F2).
  • Mencocokkan bidang unik pada tahap pengumpulan informasi awal. Kedua Trojans mengumpulkan informasi dengan struktur dan konten yang serupa dan mengirimkannya dalam format JSON ke server penyerang selama tahap awal. Kedua objek JSON memiliki field "Param1", "Param2" dan "PseudoId". Kami melakukan pencarian di cluster ElasticSearch internal kami - di mana kami menyimpan informasi tentang aplikasi bersih dan berbahaya - dan menemukan bahwa bidang ini hanya digunakan di Podec dan Loapi.
  • Obfuscation serupa.
  • Cara yang serupa untuk mendeteksi SU pada perangkat.
  • Fungsi serupa (keduanya bisa berlangganan pengguna ke layanan berbayar).
Tak satu pun dari argumen ini dapat dianggap sebagai bukti konklusif dari teori kami, namun bersamaan mereka menyarankan bahwa ada kemungkinan besar bahwa aplikasi berbahaya Podec dan Loapi diciptakan oleh kelompok kriminal cyber yang sama.

Kesimpulan

Loapi adalah perwakilan yang menarik dari dunia aplikasi Android yang berbahaya. Penciptanya telah menerapkan hampir seluruh spektrum teknik untuk menyerang perangkat: Trojan dapat berlangganan pengguna ke layanan berbayar, mengirim pesan SMS ke nomor mana pun, menghasilkan lalu lintas dan menghasilkan uang dari iklan yang ditampilkan, menggunakan kekuatan komputasi perangkat untuk menambang kripto-eskalasi, serta melakukan berbagai tindakan di internet atas nama user / device. Satu-satunya yang hilang adalah spionase pengguna, namun arsitektur modular Trojan ini berarti memungkinkan menambahkan fungsionalitas semacam ini setiap saat.

PS

Sebagai bagian dari analisis malware dinamis kami memasang aplikasi berbahaya di perangkat uji. Gambar di bawah menunjukkan apa yang terjadi setelah dua hari:


Karena beban konstan yang disebabkan oleh modul penambangan dan lalulintas yang dihasilkan, baterai melotot dan merusak penutup telepon.

C & C

ronesio.xyz (modul iklan)
api-profit.com:5210 (modul SMS dan modul pertambangan)
mnfioew.info (perayap web)
mp-app.info (modul proxy)

Domain

Daftar sumber web dari mana aplikasi berbahaya tersebut diunduh:

DomainIP
a2017-security.com91.202.62.45
alert.comsecuritynotice.us104.18.47.240,104.18.46.240
alibabadownload.org91.202.62.45
antivirus-out.net91.202.62.45
antivirus360.ru91.202.62.45,31.31.204.59,95.213.165.247,
194.58.56.226,194.58.56.50
clean-application.com91.202.62.45
defenderdevicebiz.biz104.27.178.88,104.27.179.88
fixdevice.biz104.18.45.199,104.18.44.199
highspeard.eu91.202.62.45
hoxdownload.eu91.202.62.45
lilybrook.ru104.24.113.21,104.24.112.21
nootracks.eu91.202.62.45
noxrow.eu91.202.62.45
s4.pornolub.xyz91.202.62.45
sidsidebottom.com9.56.163.55,104.27.128.72
titangelx.com104.27.171.112,104.27.170.112
trust.com-mobilehealth.biz04.27.157.60,104.27.156.60
trust.com-securitynotice.biz104.31.68.110,104.31.69.110
violetataylor.ru104.31.88.236,104.31.89.236


SHARE THIS

Author:

Sangat tertarik mengikuti perkembangan info tentang teknologi dan sistem informasi, yang pastinya aku adalah blogger paling usil.

1 comment: