Suka Instal Aplikasi dari APKPure? Awas Ada Trojan-nya Lho...

Meski sangat tidak disarankan, salah satu tempat populer untuk mencari aplikasi Android selain Play Store adalah APKPure. 

 

Belakangan terungkap kalau situs tersebut ternyata terinfeksi dan mendistribusikan trojan.

 

Ini adalah temuan dari Kaspersky, yang menyebutkan bahwa APKPure sudah terinfeksi trojan dan juga mendistribusikan trojan lainnya. 

 

Padahal di situsnya, APKPure menyebut kalau apk yang mereka distribusikan sudah dipindai oleh Google dan dijamin aman.

 

Namun menurut Kaspersky, kasus pada APKPure ini mirip dengan yang terjadi di CamScanner. Yaitu pengembang aplikasi menerapkan software development kit (SDK) iklan dari sumber tak terverifikasi dan ternyata berbahaya. Alhasil aplikasi APKPure ini disusupi oleh malware.

 

"APKPure versi 3.17.18 juga dilengkapi dengan SDK iklan, satu dengan Trojan dropper tertanam, yang dideteksi oleh solusi Kaspersky sebagai HEUR: Trojan-Dropper.AndroidOS.

 

Triada.ap," tulis Igor Golovin, peneliti keamanan di Kaspersky, dalam keterangan yang diterima.

"Saat diluncurkan, ia membongkar dan menjalankan muatannya, yang merupakan bagian berbahaya. 

 

Komponen ini dapat melakukan beberapa hal: menampilkan iklan di layar kunci; membuka tab browser; mengumpulkan informasi tentang perangkat; dan, yang paling berbahaya, mengunduh perangkat lunak perusak lainnya," lanjutnya.

 

Trojan yang disusupkan oleh APKPure -- selain yang sudah terpasang di aplikasi tersebut -- tergantung pada versi Android yang disusupi. Juga tergantung pada seberapa baru security patch Android yang terpasang.

 

Untuk OS yang relatif baru seperti Android 8 ke atas yang tak bisa memberikan izin root secara diam-diam, maka modul yang disusupkan adalah tambahan untuk Trojan Triada. 

 

Tugas modul ini adalah untuk membeli layanan premium dan mengunduh malware lainnya.

"Jika perangkat memiliki versi lebih lama, seperti Android 6 atau 7, dan tanpa pembaruan keamanan diinstal (atau dalam beberapa kasus bahkan tidak dirilis oleh vendor), dengan demikian lebih mudah untuk di-rooting, dan itu bisa menjadi Trojan xHelper," jelas Golovin.

 

"Menghapus pengganggu ini adalah tantangan nyata; bahkan pengaturan ulang pabrik tidak akan berhasil. 

 

Dipersenjatai dengan akses root, xHelper memungkinkan penyerang melakukan hampir semua hal yang mereka inginkan pada perangkat," tambahnya.

 

Kaspersky sudah melaporkan temuannya ini ke APKPure pada 8 April, pada 9 April pihak APKPure berusaha memperbaiki masalah ini, dan kemudian merilis aplikasi versi baru, yaitu 3.17.19.

baca keseluruhan - Suka Instal Aplikasi dari APKPure? Awas Ada Trojan-nya Lho...

Awas! Ada Pencuri SMS di Android

Kaspersky menemukan 3 file APK (Android PacKage) dengan ukuran masing-masing 207 KB yang terdeteksi sebagai HEUR:Trojan-Spy.AndroidOS.Zitmo.a. Semua aplikasi tersebut berbahaya dan diciptakan untuk mencuri SMS yang masuk dari perangkat yang terinfeksi.

Cara kerjanya, SMS tersebut akan diupload ke remote server dengan URL terenkripsi dan disimpan di dalam tubuh Trojan.

Tak lama kemudian, Kaspersky kembali menemukan 3 APK dengan fungsi yang sama pada tanggal 8, 13, dan 14 Juni lalu. Jadi, setidaknya ada 6 file yang berpura-pura menjadi Android Security Suite Premium, namun sebenarnya diciptakan untuk mencuri SMS pengguna.

Setelah terinfeksi, akan muncul icon perisai biru dengan nama Android Security Suite Premium.

Jika aplikasi tersebut dibuka, maka akan terlihat kode aktivasi yang dihasilkan.

Hal penting lainnya adalah bahwa aplikasi berbahaya ini dapat menerima perintah untuk uninstall sendiri serta mencuri sistem informasi sekaligus mengaktifkan/menonaktifkan aplikasi tersebut.

Memang bukan hal baru ada fungsi dengan kemampuan menerima dan menjalankan perintah maupun mencuri pesan SMS pada mobile (Android) malware. Namun tetap saja, ada sesuatu yang perlu diwaspadai pada file-file tersebut. Enam file C&C yang berhasil ditemukan Kaspersky pada file APK tersebut, antara lain:

android*****.com

android2u*****.com

androidve*****.net

android-s*****.net

soft2u*****.com

updatean*****.biz

Jika Anda membuka kelima link yang pertama di atas, tidak akan banyak informasi menarik atau berguna yang ditemukan. Namun jika Anda membuka domain C&C yang terakhir, Anda akan menemukan sesuatu.

"Itulah data palsu yang dimaksud. Jika Anda terus menelusuri dengan Google, misalnya simonich@inbox.ru, Anda akan menemukan lebih banyak domain yang didaftarkan kemabli tahun 2011 dengan menggunakan data palsu yang sama," kata Kaspersky.

Contohnya favoritopi ***** com, Akteriak ***** com, Basepol ***** com atau justdongwf3 *****.Info. Semua domain ini ditemukan oleh Kaspersky di ZeuS C & C database.

"Jadi, ada bagian baru dari malware Android yang mencuri pesan SMS yang masuk dan upload ke server remote. Salah satu domain remote server tersebut telah didaftarkan menggunakan data palsu yang sama yang digunakan untuk mendaftar ZeuS C & C pada tahun 2011," kata Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.

"Dan fungsi malware adalah hampir sama dalam sampel ZitMo tua. Oleh karena itu, kami menyebut 'Android Premium Security Suite' sebagai New ZitMo," pungkasnya, dalam keterangan tertulis.

baca keseluruhan - Awas! Ada Pencuri SMS di Android

Angry Birds Rio Unlock: Trojan Android Pertama yang Mewabah

Tahukah Anda, mengapa musuh pertama Angry Birds adalah babi? Bukan bebek, ular atau sapi? Rupanya pada saat penciptaan game ini di tahun 2009 tengah marak flu babi, sehingga disepakati babi menjadi musuh Angry Birds.

Game yang sudah diunduh sebanyak 200 juta kali ini rupanya rupanya cukup fenomenal hingga sanggup memberi inspirasi bagi para pembuat malware untuk memanfaatkannya menginfeksi sistem operasi Android.

Bersamaan dengan kehadiran Angry Birds Rio, dimana seperti biasanya game yang didapatkan secara gratis pada Android Market ini hanya memberikan jumlah level game yang terbatas (teaser) dan jika penggunanya berminat untuk memainkan lebih banyak level lagi maka ia perlu membayar untuk dapat melanjutkan permainan ke level berikutnya.

Di sinilah pembuat malware melihat celah dan beraksi dengan membuatkan aplikasi dengan nama 'Angry Birds Rio Unlock' (lihat gambar 1) yang menjanjikan akan membuka seluruh level yang tersembunyi pada game Angry Birds Rio.

Menurut pantauan virusICU, sampai saat ini pengunduh 'Angry birds Rio Unlock' sudah mencapai lebih dari 400.000 kali. Jadi berarti korban potensial Android.Plankton ini sudah mencapat 400.000 pengguna Android.

Jika aplikasi ini diunduh dan jalankan, maka Anda akan mendapatkan konfirmasi untuk unlock (lihat gambar 2)

Jika setuju, selain mendapatkan level tersembunyi Angry Birds Rio, Anda juga akan mendapatkan 'bonus' Trojan Android.Plankton yang akan melakukan banyak hal-hal yang merugikan, khususnya jika perangkat Android Anda memiliki akses ke penyedia jasa seluler seperti:

1. Mengirimkan SMS ke nomor premium yang akan menguras pulsa ponsel anda.
2. Mengunduh aplikasi lain tanpa sepengetahuan pemilik perangkat. Jadi sekali terinfeksi trojan ini, perangkat Android Anda akan rentan terhadap infeksi malware lain. Saat ini dua aplikasi yang terdeteksi didownload oleh adalah 'plankton_v0.0.3.jar' dan 'plankton_v.0.0.4.jar'. Adapun aksi kedua plankton ini adalah ia akan standby untuk menerima dan menjalankan perintah yang dikirimkan dari pusat kontrol malware.
3. Mengirmkan data deviceID, versi SDK (software Development Kit) dan informasi mengenai hak akses dari file ke server yang telah disediakan pembuat trojan.

Android dan Mac Jadi Sasaran

Awal Juni 2011, malware yang mengincar Android terlihat mulai berkembang biak. Secara logis memang hal ini tinggal menunggu waktu, karena pembuat malware akan berusaha untuk menyerang OS yang paling populer.

Saat ini malware terbanyak masih menyerang OS Windows, tetapi melihat kepopuleran Android, pembuat malware kelihatannya tergoda untuk menyerang OS ini. Bahkan pengguna OS Mac yang selama ini jarang dikunjungi malware, turut menjadi korban Rogue Antivirus (antivirus palsu) dengan nama MacDefender yang khusus diciptakan untuk menyerang pengguna OS Mac.

Hal ini sekaligus membuktikan lagi teori mengenai OS tahan virus. Yang menjadi pertanyaan bukanlah seberapa tangguh suatu OS mampu menangkal virus tersebut tetapi apakah pembuat malware tertarik untuk menyerang OS tersebut atau tidak.

Android.Plankton ditemukan pada tanggal 9 Juni 2011 oleh tim analis Dr Web dan langsung dimasukkan ke dalam definisi Dr Web for Android. Dr Web for Android tersedia dalam 2 versi, versi pertama Dr Web for Android Lite yang dapat diunduh secara gratis dari Android Market dan versi berbayar dengan nama Dr Web for Android Anti-virus + Anti-Spam yang memiliki fungsi tambahan melindungi pengguna Android dari spam baik dari SMS maupun Telemarketing.

Kabar baiknya, bila Anda membeli Dr Web Antivirus for Windows, Linux atau Mac Anda bisa mendapatkan Dr Web for Android Anti-virus + Anti-Spam secara gratis. Atau sebaliknya, jika membeli Dr Web for Android Anti-virus + Anti-Spam, maka akan mendapatkan gratis Dr Web for Windows, Linux atau Mac for workstation (non server).
 

baca keseluruhan - Angry Birds Rio Unlock: Trojan Android Pertama yang Mewabah