Halaman

    Social Items

Visit WPN

 


Dua malware Android baru bernama 'CherryBlos' dan 'FakeTrade' ditemukan di Google Play. Kedua malware ini bertujuan untuk mencuri kredensial dan modal cryptocurrency atau melakukan penipuan.


Trend Micro baru-baru ini menemukan varian malware baru, yang mereka amati menggunakan infrastruktur jaringan dan sertifikat yang sama. Hal ini menunjukkan bahwa ada pelaku ancaman yang sama yang bertanggung jawab atas penciptaan malware tersebut.


Aplikasi malicious menyebar melalui berbagai saluran distribusi, termasuk media sosial, situs phishing dan aplikasi belanja palsu di Google Play Store, toko aplikasi resmi untuk Android.



CherryBlos


Pada bulan April 2023, malware CherryBlos pertama kali muncul dalam bentuk file APK (package Android) yang dipromosikan melalui kanal Telegram, Twitter dan YouTube dengan menyamar sebagai tool AI atau penambang koin.


APK berbahaya ini menggunakan beberapa nama yang berbeda seperti GPTalk, Happy Miner, Robot999 dan SynthNet. File-file ini dapat didownload dari website berikut dengan nama domain yang sesuai.

  • chatgptc[.]io
  • happyminer[.]com
  • robot999[.]net
  • synthnet[.]ai


Aplikasi malicious Synthnet juga berhasil diupload ke Google Play Store, dimana sekitar seribu kali didownload sebelum akhirnya dilaporkan dan dihapus.


CherryBlos merupakan sebuah malware yang berfungsi sebagai pencuri cryptocurrency. Malware ini menyalahgunakan izin layanan Accessibility untuk mengambil dua file konfigurasi dari server C2, dan secara otomatis menyetujui izin tambahan tanpa persetujuan pengguna, serta mencegah pengguna untuk mematikan aplikasi trojan.


CherryBlos menerapkan berbagai taktik untuk mencuri kredensial dan aset cryptocurrency dengan taktik utamanya adalah menyajikan antarmuka pengguna palsu yang meniru aplikasi resmi untuk mengelabui kredensial.


Namun, fitur yang lebih menarik dapat diaktifkan, yaitu menggunakan OCR (Optical Character Recognition) untuk mengekstraksi teks dari gambar dan foto yang tersimpan di perangkat.



Sebagai contoh, saat pengguna menyiapkan dompet cryptocurrency baru, mereka akan diberikan sebuah frasa atau kata sandi pemulihan yang terdiri dari 12 kata atau lebih. Frasa ini dapat digunakan untuk memulihkan dompet di komputer jika diperlukan.


Setelah menampilkan kata-kata ini, pengguna diminta untuk menuliskan dan menyimpannya di tempat yang aman. Hal ini dilakukan karena siapapun yang memiliki frasa ini dapat menggunakannya untuk menambahkan dompet kripto anda ke perangkat lain dan mengakses dana di dalamnya.


Meskipun tidak disarankan, beberapa orang masih mengambil foto frasa pemulihan mereka, kemudian menyimpan foto tersebut di komputer dan perangkat ponsel mereka.


Namun, jika fitur malware ini diaktifkan, itu berpotensi menggunakan OCR untuk mengenali teks dari gambar dan mengekstrak frasa pemulihan, sehingga memungkinkan para penjahat untuk mencuri dompet kripto pengguna.


Data yang terkumpul kemudian secara berkala dikirimkan kembali ke server pelaku ancaman, seperti yang diilustrasikan di bawah ini.



Selain itu, malware juga bertindak sebagai hijacker (pembajak) clipboard untuk aplikasi Binance. Dengan cara ini, secara otomatis, alamat penerima kripto yang ditampilkan akan diubah oleh malware dengan alamat yang berada di bawah kendali penyerang, sementara alamat asli yang seharusnya muncul bagi pengguna tetap tidak berubah.


Perilaku ini memungkinkan pelaku ancaman untuk mengalihkan pembayaran yang dikirimkan oleh pengguna ke dompet mereka sendiri, dengan demikian efektif mencuri dana yang ditransfer.



FakeTrade


Para analis dari Trend Micro menemukan koneksi ke kampanye di Google Play, dimana terdapat 31 aplikasi scam yang secara kolektif disebut "FakeTrade." Aplikasi-aplikasi ini menggunakan infrastruktur dan sertifikat jaringan C2 yang sama dengan aplikasi CherryBlos.


Aplikasi ini menampilkan tema belanja atau umpan money-making yang mengecoh pengguna dengan meminta mereka menonton iklan, menyetujui langganan premium atau menambahkan dana ke dalam aplikasi mereka. Namun, aplikasi ini tidak pernah mengizinkan pengguna untuk menukarkan hadiah virtual yang dijanjikan tersebut.


Aplikasi ini menggunakan antarmuka yang serupa dan secara umum ditujukan untuk pengguna di Malaysia, Vietnam, Indonesia, Filipina, Uganda, dan Meksiko. Sebagian besar aplikasi ini diupload ke Google Play antara tahun 2021 dan 2022.



Namun, aplikasi malware yang dilaporkan telah dihapus dari Google Play Store. Namun, karena ribuan pengguna telah mendownloadnya, maka pembersihan manual mungkin diperlukan pada perangkat yang terinfeksi.

Malware Android Baru Menggunakan OCR untuk Mencuri Kredensial

 


Dua malware Android baru bernama 'CherryBlos' dan 'FakeTrade' ditemukan di Google Play. Kedua malware ini bertujuan untuk mencuri kredensial dan modal cryptocurrency atau melakukan penipuan.


Trend Micro baru-baru ini menemukan varian malware baru, yang mereka amati menggunakan infrastruktur jaringan dan sertifikat yang sama. Hal ini menunjukkan bahwa ada pelaku ancaman yang sama yang bertanggung jawab atas penciptaan malware tersebut.


Aplikasi malicious menyebar melalui berbagai saluran distribusi, termasuk media sosial, situs phishing dan aplikasi belanja palsu di Google Play Store, toko aplikasi resmi untuk Android.



CherryBlos


Pada bulan April 2023, malware CherryBlos pertama kali muncul dalam bentuk file APK (package Android) yang dipromosikan melalui kanal Telegram, Twitter dan YouTube dengan menyamar sebagai tool AI atau penambang koin.


APK berbahaya ini menggunakan beberapa nama yang berbeda seperti GPTalk, Happy Miner, Robot999 dan SynthNet. File-file ini dapat didownload dari website berikut dengan nama domain yang sesuai.

  • chatgptc[.]io
  • happyminer[.]com
  • robot999[.]net
  • synthnet[.]ai


Aplikasi malicious Synthnet juga berhasil diupload ke Google Play Store, dimana sekitar seribu kali didownload sebelum akhirnya dilaporkan dan dihapus.


CherryBlos merupakan sebuah malware yang berfungsi sebagai pencuri cryptocurrency. Malware ini menyalahgunakan izin layanan Accessibility untuk mengambil dua file konfigurasi dari server C2, dan secara otomatis menyetujui izin tambahan tanpa persetujuan pengguna, serta mencegah pengguna untuk mematikan aplikasi trojan.


CherryBlos menerapkan berbagai taktik untuk mencuri kredensial dan aset cryptocurrency dengan taktik utamanya adalah menyajikan antarmuka pengguna palsu yang meniru aplikasi resmi untuk mengelabui kredensial.


Namun, fitur yang lebih menarik dapat diaktifkan, yaitu menggunakan OCR (Optical Character Recognition) untuk mengekstraksi teks dari gambar dan foto yang tersimpan di perangkat.



Sebagai contoh, saat pengguna menyiapkan dompet cryptocurrency baru, mereka akan diberikan sebuah frasa atau kata sandi pemulihan yang terdiri dari 12 kata atau lebih. Frasa ini dapat digunakan untuk memulihkan dompet di komputer jika diperlukan.


Setelah menampilkan kata-kata ini, pengguna diminta untuk menuliskan dan menyimpannya di tempat yang aman. Hal ini dilakukan karena siapapun yang memiliki frasa ini dapat menggunakannya untuk menambahkan dompet kripto anda ke perangkat lain dan mengakses dana di dalamnya.


Meskipun tidak disarankan, beberapa orang masih mengambil foto frasa pemulihan mereka, kemudian menyimpan foto tersebut di komputer dan perangkat ponsel mereka.


Namun, jika fitur malware ini diaktifkan, itu berpotensi menggunakan OCR untuk mengenali teks dari gambar dan mengekstrak frasa pemulihan, sehingga memungkinkan para penjahat untuk mencuri dompet kripto pengguna.


Data yang terkumpul kemudian secara berkala dikirimkan kembali ke server pelaku ancaman, seperti yang diilustrasikan di bawah ini.



Selain itu, malware juga bertindak sebagai hijacker (pembajak) clipboard untuk aplikasi Binance. Dengan cara ini, secara otomatis, alamat penerima kripto yang ditampilkan akan diubah oleh malware dengan alamat yang berada di bawah kendali penyerang, sementara alamat asli yang seharusnya muncul bagi pengguna tetap tidak berubah.


Perilaku ini memungkinkan pelaku ancaman untuk mengalihkan pembayaran yang dikirimkan oleh pengguna ke dompet mereka sendiri, dengan demikian efektif mencuri dana yang ditransfer.



FakeTrade


Para analis dari Trend Micro menemukan koneksi ke kampanye di Google Play, dimana terdapat 31 aplikasi scam yang secara kolektif disebut "FakeTrade." Aplikasi-aplikasi ini menggunakan infrastruktur dan sertifikat jaringan C2 yang sama dengan aplikasi CherryBlos.


Aplikasi ini menampilkan tema belanja atau umpan money-making yang mengecoh pengguna dengan meminta mereka menonton iklan, menyetujui langganan premium atau menambahkan dana ke dalam aplikasi mereka. Namun, aplikasi ini tidak pernah mengizinkan pengguna untuk menukarkan hadiah virtual yang dijanjikan tersebut.


Aplikasi ini menggunakan antarmuka yang serupa dan secara umum ditujukan untuk pengguna di Malaysia, Vietnam, Indonesia, Filipina, Uganda, dan Meksiko. Sebagian besar aplikasi ini diupload ke Google Play antara tahun 2021 dan 2022.



Namun, aplikasi malware yang dilaporkan telah dihapus dari Google Play Store. Namun, karena ribuan pengguna telah mendownloadnya, maka pembersihan manual mungkin diperlukan pada perangkat yang terinfeksi.

Malware News
Comments
0 Comments

No comments

Subscribe to: Post Comments (Atom)