ladangbelajar-Peneliti dari Check Point menemukan penyebaran manuver malware canggih bernama SimBad via Google Play Store. Berdasarkan keterangan para ahli, lebih dari 150 juta pengguna telah terkena dampaknya.
SimBad menyamarkan dirinya seperti ads/iklan yang bersembunyi di dalam RXDrioder software development kit (SDK) yang digunakan untuk tujuan iklan dan monetisasi (mencari duit/keuntungan).
"Malware ini tinggal di dalam 'RXDriorder' SDK, yang disediakan oleh 'addroider[.]com' sebagai SDK yang terkait ad/iklan. Kami meyakini para pengembang yang scammed/tertipu untuk menggunakan malicious SDK ini, tidak menyadari isinya, sehingga mengarahkan kepada fakta bahwa manuver ini tidak menarget wilayah tertentu atau dikembangkan oleh developer yang sama." kata analisa para ahli.
"Malware ini dijuluki 'SimBad' karena melihat pada realita kebanyakan aplikasi yang terinfeksi adalah game simulator."
Domain 'addroider[.]com' terdaftar via GoDaddy yang kepemilikannya tersamarkan oleh layanan perlindungan privasi, RiskIQ's PassiveTotal mengungkap bahwa domain tersebut berakhir 7 bulan yang lalu. Dengan mengakses domain tsb pengguna masuk ke halaman login yang muncul mirip dengan panel malware lainnya. Tautan 'Register' dan 'Sign Up' rusak dan mengarahkan user kembali ke halaman login.
Malware SimBad juga dapat mengarahkan user android untuk mengkompromikan phising website dan mengunduh lebih banyak malicious app baik dari Play Store atau dari remote server.
Sekali user android donwload dan install aplikasi yang telah terinfeksi, malware SimBad mendaftarkan dirinya ke 'BOOT_COMPLETE' dan 'USER_PARENT'. Dari cara ini, malware mampu melakukan aksi setelah fase booting selesai. Sementara user tidak sadar mengoperasikan device nya.
Sekali terinstall, malware SimBad akan terkonek ke server Command and Control (C&C), dan menerima perintah untuk beraksi. Ia menghapus icon nya sendiri dari launcher, sehingga semakin susah bagi user untuk uninstall malicious app, pada waktu yang sama ia mulai memunculkan latarbelakang ads/iklan dan membuka browser dengan memberikan URL untuk menghasilkan pendapatan tanpa menimbulkan kecurigaan.
"SimBad memiliki kemampuan yang dapat dibagi menjadi tiga kelompok: menampilkan Ads, Phising, and Mengekspos ke app lain. Dengan kemampuan untuk membuka URL yang diberikan di sebuah browser, dalang di balik SimBad dapat menghasilkan halaman phising untuk multiple platform dan membukanya ke dalam sebuah browser, sehingga menampilkan serangan 'spear-phising' pada pengguna." Kata ahli menambahkan.
"Dengan kemampuan untuk membuka market app, seperti Google Play dan 9Apps, dengan pencarian kata kunci tertentu atau meskipun sebuah halaman aplikasi tunggal, pelaku dapat memperoleh 'exposure' untuk ancaman yang lain dan meningkatkan keuntungan. Pelaku bahkan bisa melakukan aktivitas jahatnya menuju level lanjut dengan install sebuah remote app dari server yang ditunjuk, sehingga mengizinkannya untuk menginstall malware baru begitu diperlukan."
Berdasarkan keterangan Check Point, kebanyakan aplikasi yang terinfeksi adalah game simulator, diikuti foto editor dan wallpaper app. Di bawah ini daftar 10 teratas app yang terinfeksi oleh malware SimBad:
- Snow Heavy Excavator Simulator (10,000,000 downloads)
- Hoverboard Racing (5,000,000 downloads)
- Real Tractor Farming Simulator (5,000,000 downloads)
- Ambulance Rescue Driving (5,000,000 downloads)
- Heavy Mountain Bus Simulator 2018 (5,000,000 downloads)
- Fire Truck Emergency Driver (5,000,000 downloads)
- Farming Tractor Real Harvest Simulator (5,000,000 downloads)
- Car Parking Challenge (5,000,000 downloads)
- Speed Boat Jet Ski Racing (5,000,000 downloads)
- Water Surfing Car Stunt (5,000,000 downloads)
Nah, apakah app di device teman2 termasuk di dalam list diatas? Keep aware!
Oleh: Pierluigi Paganini
Diterjemahkan dari artikel berjudul "SimBad malware infected million Android users through Play Store"
Tautan: https://securityaffairs.co/wordpress/82654/malware/simbad-malware-google-play.html
0 komentar:
Post a Comment