.png)
Jakarta: Peneliti Kaspersky mengungkap bankir Trojan Android baru
yang menargetkan pengguna Korea. Dijuluki SoumniBot, malware ini
menggunakan teknik kebingungan yang tidak konvensional untuk melewati
deteksi dan mencuri berbagai data korban, termasuk kredensial perbankan.
Secara tradisional, pembuat malware menggunakan berbagai alat untuk menghalangi analisis dan deteksi kode. SoumniBot mengambil pendekatan unik dengan mengeksploitasi bug dalam proses ekstraksi dan parsing manifes Android. Manifes Android, sebuah file penting yang disertakan dalam setiap paket aplikasi Android (APK), berisi informasi penting tentang komponen aplikasi, izin, dan data lainnya.
SoumniBot memanfaatkan tiga teknik kebingungan utama dalam manifes untuk menghindari deteksi:
1. Nilai metode kompresi tidak valid: SoumniBot memanipulasi bidang dalam header entri ZIP manifes untuk memanfaatkan rutin validasi metode kompresi khusus manifes, sehingga memungkinkan malware menyematkan kode yang dikaburkan.
2. Ukuran manifes tidak valid: Karena parser manifes membuang overlay, hal ini memungkinkan penyerang memasukkan ukuran entri manifes yang salah untuk menghambat analisis.
3. Nama Namespace yang Panjang: SoumniBot menggabungkan string yang terlalu panjang dalam definisi namespace XML manifes, sehingga membebani beberapa alat penguraian dan menjadikan manifes tidak dapat dibaca.
Setelah menginfeksi perangkat, SoumniBot diam-diam beroperasi di latar belakang, mengumpulkan serangkaian data korban yang komprehensif termasuk:
1. Daftar kontak
2. Pesan SMS dan MMS
3. Foto dan video
4. Alamat IP dan lokasi
Sertifikat digital untuk perbankan online
Malware mengirimkan informasi yang dicuri ke server jarak jauh yang dikendalikan oleh penyerang. SoumniBot menargetkan sertifikat digital yang digunakan oleh bank-bank Korea, memungkinkan penyerang melewati metode otentikasi dan berpotensi mencuri dana dari korban yang tidak menaruh curiga.
“Seperti biasa, pembuat malware berusaha menginfeksi sebanyak mungkin perangkat sambil tetap bersembunyi. Upaya tanpa henti ini mendorong mereka untuk mengembangkan teknik penghindaran deteksi yang inovatif. SoumniBot mencontohkan hal ini dengan sempurna. Untuk melewati langkah-langkah keamanan potensial, pelaku ancaman mengeksploitasi kelemahan dalam pemrosesan manifes Android."
"Kami telah merinci teknik-teknik ini untuk meningkatkan kesadaran siber di kalangan peneliti keamanan, karena teknik ini dapat digunakan oleh keluarga malware di masa depan. SoumniBot sangat mengkhawatirkan karena menargetkan sertifikat digital Korea untuk mobile banking, hal yang jarang terjadi pada malware mobile,” kata Dmitry Kalinin, peneliti Kaspersky.
Agar tetap aman dari malware seluler, Kaspersky merekomendasikan:
1. Lebih aman mengunduh aplikasi hanya dari toko resmi seperti Google Play atau Amazon Appstore. Aplikasi dari pasar-pasar ini tidak 100 persen aman dari kegagalan, namun mereka diperiksa oleh perwakilan toko dan ada beberapa sistem penyaringan — tidak semua aplikasi bisa masuk ke toko-toko ini.
2. Periksa izin aplikasi yang digunakan dan pikirkan baik-baik sebelum mengizinkan suatu aplikasi, terutama jika menyangkut izin berisiko tinggi seperti izin untuk menggunakan Layanan Aksesibilitas.
3. Solusi keamanan yang andal dapat membantu mendeteksi aplikasi dan adware berbahaya, apa pun teknik penyamarannya sebelum aplikasi tersebut mulai berperilaku buruk pada perangkat.
4. Saran yang baik adalah memperbarui sistem operasi dan aplikasi penting saat pembaruan tersedia. Banyak masalah keamanan yang dapat diselesaikan dengan menginstal perangkat lunak versi terbaru.
Secara tradisional, pembuat malware menggunakan berbagai alat untuk menghalangi analisis dan deteksi kode. SoumniBot mengambil pendekatan unik dengan mengeksploitasi bug dalam proses ekstraksi dan parsing manifes Android. Manifes Android, sebuah file penting yang disertakan dalam setiap paket aplikasi Android (APK), berisi informasi penting tentang komponen aplikasi, izin, dan data lainnya.
SoumniBot memanfaatkan tiga teknik kebingungan utama dalam manifes untuk menghindari deteksi:
1. Nilai metode kompresi tidak valid: SoumniBot memanipulasi bidang dalam header entri ZIP manifes untuk memanfaatkan rutin validasi metode kompresi khusus manifes, sehingga memungkinkan malware menyematkan kode yang dikaburkan.
2. Ukuran manifes tidak valid: Karena parser manifes membuang overlay, hal ini memungkinkan penyerang memasukkan ukuran entri manifes yang salah untuk menghambat analisis.
3. Nama Namespace yang Panjang: SoumniBot menggabungkan string yang terlalu panjang dalam definisi namespace XML manifes, sehingga membebani beberapa alat penguraian dan menjadikan manifes tidak dapat dibaca.
Setelah menginfeksi perangkat, SoumniBot diam-diam beroperasi di latar belakang, mengumpulkan serangkaian data korban yang komprehensif termasuk:
1. Daftar kontak
2. Pesan SMS dan MMS
3. Foto dan video
4. Alamat IP dan lokasi
Sertifikat digital untuk perbankan online
Malware mengirimkan informasi yang dicuri ke server jarak jauh yang dikendalikan oleh penyerang. SoumniBot menargetkan sertifikat digital yang digunakan oleh bank-bank Korea, memungkinkan penyerang melewati metode otentikasi dan berpotensi mencuri dana dari korban yang tidak menaruh curiga.
“Seperti biasa, pembuat malware berusaha menginfeksi sebanyak mungkin perangkat sambil tetap bersembunyi. Upaya tanpa henti ini mendorong mereka untuk mengembangkan teknik penghindaran deteksi yang inovatif. SoumniBot mencontohkan hal ini dengan sempurna. Untuk melewati langkah-langkah keamanan potensial, pelaku ancaman mengeksploitasi kelemahan dalam pemrosesan manifes Android."
"Kami telah merinci teknik-teknik ini untuk meningkatkan kesadaran siber di kalangan peneliti keamanan, karena teknik ini dapat digunakan oleh keluarga malware di masa depan. SoumniBot sangat mengkhawatirkan karena menargetkan sertifikat digital Korea untuk mobile banking, hal yang jarang terjadi pada malware mobile,” kata Dmitry Kalinin, peneliti Kaspersky.
Agar tetap aman dari malware seluler, Kaspersky merekomendasikan:
1. Lebih aman mengunduh aplikasi hanya dari toko resmi seperti Google Play atau Amazon Appstore. Aplikasi dari pasar-pasar ini tidak 100 persen aman dari kegagalan, namun mereka diperiksa oleh perwakilan toko dan ada beberapa sistem penyaringan — tidak semua aplikasi bisa masuk ke toko-toko ini.
2. Periksa izin aplikasi yang digunakan dan pikirkan baik-baik sebelum mengizinkan suatu aplikasi, terutama jika menyangkut izin berisiko tinggi seperti izin untuk menggunakan Layanan Aksesibilitas.
3. Solusi keamanan yang andal dapat membantu mendeteksi aplikasi dan adware berbahaya, apa pun teknik penyamarannya sebelum aplikasi tersebut mulai berperilaku buruk pada perangkat.
4. Saran yang baik adalah memperbarui sistem operasi dan aplikasi penting saat pembaruan tersedia. Banyak masalah keamanan yang dapat diselesaikan dengan menginstal perangkat lunak versi terbaru.
sumber : https://www.medcom.id/teknologi/news-teknologi/GbmPrgeN-ada-trojan-android-soumnibot-baru-incar-pengguna-perbankan-online
Comments
Post a Comment