Halaman

    Social Items

Visit WPN
Showing posts with label Android. Show all posts
Showing posts with label Android. Show all posts

 


Google telah merilis pembaruan keamanan Android edisi Agustus 2025 yang mencakup perbaikan untuk enam kerentanan, termasuk dua celah keamanan serius di komponen Qualcomm yang sebelumnya diketahui telah dieksploitasi dalam serangan tertarget.


Dua celah keamanan utama yang diperbaiki terdaftar sebagai CVE-2025-21479 dan CVE-2025-27038 dilaporkan ke tim Keamanan Android Google pada akhir Januari 2025.


CVE-2025-21479 merupakan kelemahan otorisasi dalam kerangka grafis yang dapat menyebabkan kerusakan memori akibat eksekusi perintah yang tidak sah di mikronode GPU saat menjalankan urutan tertentu. Sementara itu, CVE-2025-27038 adalah kerentanan "use-after-free" yang berdampak pada driver GPU Adreno di Chrome, memungkinkan kerusakan memori saat merender grafis.


Google telah mengintegrasikan patch yang diumumkan Qualcomm sejak Juni. Saat itu, Qualcomm memperingatkan bahwa celah-celah tersebut termasuk CVE-2025-21479, CVE-2025-21480, dan CVE-2025-27038 telah dieksploitasi secara terbatas dan tertarget, berdasarkan temuan Google Threat Analysis Group.


"Patch untuk masalah yang mempengaruhi driver Graphics Processing Unit (GPU) Adreno telah tersedia bagi OEM pada bulan Mei bersama dengan rekomendasi kuat untuk menerapkan pembaruan pada perangkat yang terdampak sesegera mungkin," kata Qualcomm.


Sebagai respons terhadap ancaman aktif ini, CISA (Cybersecurity and Infrastructure Security Agency) menambahkan dua dari kerentanan tersebut ke dalam katalog resmi eksploitasi aktif pada 3 Juni, serta mewajibkan lembaga federal AS untuk mengamankan perangkat mereka dari serangan yang sedang berlangsung pada tanggal 24 Juni.


Selain memperbaiki kerentanan Qualcomm, pembaruan Agustus ini juga mengatasi celah kritis dalam komponen sistem Android yang dapat dimanfaatkan penyerang tanpa hak akses khusus untuk mengeksekusi kode dari jarak jauh—terutama jika dikombinasikan dengan kelemahan lain, bahkan tanpa interaksi dari pengguna.


Google telah menerbitkan dua set patch keamanan: level patch keamanan 2025-08-01 dan 2025-08-05. Patch keamanan 2025-08-05 menggabungkan semua perbaikan dari batch pertama dan patch untuk subkomponen kernel dan pihak ketiga sumber tertutup, yang mungkin tidak berlaku untuk semua perangkat Android.


Seperti biasa, perangkat Pixel milik Google menerima patch ini lebih awal, sementara produsen perangkat Android lain mungkin membutuhkan waktu tambahan untuk menguji dan menyesuaikannya dengan konfigurasi hardware masing-masing.


Sebagai catatan, Google juga telah aktif menangani eksploitasi zero-day lainnya. Pada Maret lalu, dua celah zero-day ditambal setelah diketahui digunakan oleh otoritas Serbia untuk membuka perangkat Android yang disita. Sementara itu, pada November 2024, Google menambal CVE-2024-43047, zero-day yang dimanfaatkan dalam serangan spyware NoviSpy, juga terkait dengan aktivitas pemerintah Serbia dan pertama kali ditandai sebagai dieksploitasi  oleh Google Project Zero pada bulan Oktober.

Google Rilis Patch Android Agustus 2025, Tutup Celah Eksploitasi di GPU Qualcomm

 


Malware perbankan Android baru bernama MMRat menggunakan metode komunikasi yang jarang digunakan, serialisasi data protobuf, untuk mencuri data dari perangkat yang disusupi dengan lebih efisien.


MMRat pertama kali teridentifikasi oleh Trend Micro pada akhir Juni 2023, dengan fokus utama pada pengguna di wilayah Asia Tenggara dan berhasil menghindari deteksi oleh layanan pemindaian antivirus seperti VirusTotal.


Meskipun para peneliti tidak memiliki informasi tentang metode awal distribusi malware tersebut kepada korban, mereka berhasil mengidentifikasi bahwa MMRat disebarkan melalui situs web yang menyamar sebagai toko aplikasi resmi.


Para korban ini mendownload dan menginstal aplikasi berbahaya yang membawa MMRat, sering kali aplikasi ini meniru aplikasi resmi pemerintah atau aplikasi kencan dan selama proses instalasi, memberikan izin yang berisiko seperti akses ke layanan Aksesibilitas Android.


Malware dengan otomatis memanfaatkan fitur Aksesibilitas untuk memberikan izin tambahan, yang kemudian memungkinkannya melakukan berbagai tindakan jahat pada perangkat yang telah terinfeksi.



Kemampuan MMRat


Setelah perangkat Android terinfeksi oleh MMRat, malware ini membentuk saluran komunikasi dengan server C2 dan mengawasi aktivitas perangkat untuk mengidentifikasi periode ketidakaktifan.


Pada periode tersebut, para pelaku ancaman menyalahgunakan Layanan Aksesibilitas untuk menghidupkan perangkat dari jarak jauh, membuka kunci layar dan melakukan penipuan bank secara real-time.


Fungsi utama MMRat dapat diringkas sebagai berikut:

  • Mengumpulkan informasi jaringan, layar dan baterai.
  • Mengekstrak daftar kontak pengguna dan daftar aplikasi yang diinstal.
  • Mencapture input pengguna melalui keylogging.
  • Mencapture konten layar secara real-time dari perangkat dengan menyalahgunakan API MediaProjection.
  • Merekam dan live-streaming data kamera.
  • Merekam dan menyalin data layar dalam bentuk teks dump yang dieksfiltrasi ke C2.
  • Menguninstal dirinya sendiri dari perangkat untuk menghapus semua bukti infeksi.



Kemampuan MMRat untuk mengambil konten layar secara real-time, bahkan dengan menggunakan metode yang lebih sederhana seperti 'status terminal pengguna' yang mengekstraksi data teks yang memerlukan rekonstruksi, mengharuskan transmisi data yang efisien.


Dengan efisiensi seperti itu, kinerja malware ini akan menghambat kemampuan pelaku ancaman untuk melakukan penipuan bank dengan efektif. Oleh karena itu, penulis MMRat memutuskan untuk mengembangkan protokol Protobuf yang khusus untuk mengirimkan data yang diekstraksi secara efisien.




Keunggulan Protobuf


MMRat memanfaatkan protokol server perintah dan kontrol (C2) yang unik, didasarkan pada protokol buffering (Protobuf) untuk melakukan transfer data dengan efisiensi yang jarang terdapat pada trojan Android.


Protobuf adalah metode serialisasi data terstruktur yang dikembangkan oleh Google, yang serupa dengan XML dan JSON dalam bentuknya, namun lebih ringkas dan memiliki kinerja yang lebih cepat.


MMRat memanfaatkan port dan protokol yang berbeda untuk berkomunikasi dengan C2, contohnya HTTP di port 8080 untuk eksfiltrasi data, RTSP di port 8554 untuk streaming video, dan menggunakan Protobuf khusus di port 8887 untuk perintah dan kontrol.


Menurut laporan Trend Micro, Protokol C&C, khususnya, memiliki keunikan karena telah disesuaikan dengan menggunakan framework aplikasi jaringan Netty dan memanfaatkan Protobuf seperti yang telah dijelaskan sebelumnya, lengkap dengan struktur pesan yang dirancang dengan baik.


Dalam komunikasi C&C, para pelaku ancaman menggunakan struktur yang terorganisir dengan baik untuk mewakili berbagai jenis pesan, dan mereka menggunakan kata kunci "oneof" untuk merepresentasikan berbagai jenis data yang berbeda.



Selain efisiensi Protobuf, penggunaan protokol khusus juga membantu para pelaku ancaman menghindari deteksi oleh alat keamanan jaringan yang mencari pola anomali umum yang sudah dikenali.


Fleksibilitas Protobuf memungkinkan penulis MMRat untuk mendefinisikan struktur pesan mereka dan mengatur cara data dikirimkan. Sementara itu, sifat terstrukturnya memastikan bahwa data yang dikirim mematuhi skema yang telah ditentukan sebelumnya dan memiliki kemungkinan lebih rendah untuk rusak di pihak penerima.


Secara keseluruhan, MMRat adalah contoh yang menunjukkan kemajuan yang signifikan dalam trojan perbankan Android, yang mampu menggabungkan keahlian dalam penyamaran dengan ekstraksi data yang efisien.


Pengguna Android sebaiknya hanya mendownload aplikasi dari Google Play Store, mengecek ulasan pengguna, hanya mempercayai penerbit yang memiliki reputasi baik dan harus berhati-hati saat melakukan instalasi, terutama ketika diminta untuk memberikan izin akses.

Malware Android Baru MMRat Menggunakan Protokol Protobuf untuk Mencuri Data Anda

 


FBI memperingatkan taktik baru yang digunakan oleh cybercriminal dimana mereka mempromosikan versi "beta" berbahaya dari aplikasi investasi cryptocurrency di app store seluler populer yang kemudian digunakan untuk mencuri crypto.


Para pelaku ancaman mengadopsi pendekatan baru dalam upaya mereka dengan menyebarkan aplikasi berbahaya melalui app store seluler dengan label "beta." Istilah "beta" mengindikasikan bahwa aplikasi tersebut berada dalam tahap pengembangan awal dan tujuannya adalah untuk diujicoba oleh para penggemar teknologi atau individu yang tertarik, sehingga mereka dapat memberikan umpan balik kepada para pengembang sebelum perangkat lunak itu dirilis secara resmi.


Keuntungan dari pendekatan ini adalah bahwa aplikasi dalam versi beta tidak menjalani proses peninjauan kode yang ketat dan standar, melainkan hanya diperiksa secara permukaan untuk keamanannya.


Proses pemeriksaan kode yang tidak mendalam ini tidak mampu mengungkapkan kode berbahaya yang tersembunyi, yang kemudian dapat diaktifkan setelah aplikasi terinstal untuk melakukan berbagai tindakan berbahaya.


FBI menjelaskan bahwa aplikasi berbahaya memiliki potensi untuk mencuri informasi identitas pribadi (PII), mengakses akun keuangan atau bahkan mengambil alih perangkat.


Dikatakan bahwa aplikasi-aplikasi tersebut mungkin menampilkan kesan keabsahan dengan menggunakan nama, ikon atau deskripsi yang menyerupai aplikasi populer.


Secara umum, aplikasi-aplikasi ini meniru platform investasi cryptocurrency dan alat pengelolaan aset digital, yang kemudian meminta pengguna untuk memasukkan data akun yang sah, melakukan setoran uang untuk tujuan investasi dan sejenisnya.


Korban akan diarahkan menuju aplikasi tersebut melalui manipulasi sosial dengan memanfaatkan penipuan phishing atau romansa dan aplikasi ini tampak meyakinkan karena diunggah ke dalam app store ternama.


Pada Maret 2022, Sophos pertama kali mencatat permasalahan ini dalam laporan yang mengingatkan tentang praktik penipuan di mana cybercriminal menyalahgunakan sistem TestFlight Apple. Platform ini sebenarnya diciptakan untuk membantu para pengembang mendistribusikan versi beta aplikasi guna pengujian pada perangkat iOS.


Laporan terbaru dari Sophos menginvestigasi kampanye aplikasi berbahaya yang dikenal sebagai 'CryptoRom,' yang mengaku sebagai aplikasi penipuan investasi cryptocurrency. Aplikasi ini diperkenalkan melalui platform Apple TestFlight dan disalahgunakan oleh para pelaku ancaman untuk mendistribusikan perangkat lunak berbahaya.



Pada awalnya, para pelaku ancaman mengunggah aplikasi yang tampak sah ke iOS app store dengan tujuan untuk digunakan dalam lingkungan Test Flight.


Namun, setelah aplikasi mendapatkan persetujuan, para pelaku ancaman melakukan perubahan pada URL yang digunakan oleh aplikasi, mengarahkannya ke server yang berbahaya dan memasukkan perilaku jahat ke dalam aplikasi tersebut.



Google Play Store juga mendukung pengunggahan aplikasi dalam versi pengujian beta. Namun, tidak jelas apakah proses peninjauan kode yang lebih longgar juga diterapkan dalam hal ini.


FBI menyarankan agar selalu memverifikasi reputasi publisher aplikasi dengan membaca ulasan dari pengguna di app store, serta menghindari perangkat lunak yang memiliki unduhan yang sangat rendah atau sangat tinggi, terutama jika kombinasinya dengan ulasan pengguna yang minim atau bahkan tanpa ulasan.


Pengguna juga perlu berhati-hati saat menginstal aplikasi baru dan mengawasi izin yang diminta untuk segala hal yang tampaknya tidak berkaitan dengan fungsi utama dari perangkat lunak tersebut.


Tanda-tanda umum dari malware pada perangkat anda meliputi peningkatan yang signifikan dalam penggunaan baterai, lonjakan dalam konsumsi data internet, munculnya iklan pop-up secara tiba-tiba, penurunan kinerja yang terasa dan perangkat yang terasa lebih panas dari biasanya.

Cybercriminal Menggunakan Aplikasi Beta untuk Melewati Keamanan App Store Seluler

 


Dilaporkan bahwa Google saat ini tengah mengembangkan fitur yang akan memungkinkan pengguna untuk menghubungkan perangkat Android yang telah terhubung ke akun Google yang sama, sehingga dapat digunakan untuk panggilan dan layanan lainnya. Fitur ini serupa dengan opsi Continuity yang ada pada produk Apple.


Seperti yang telah diinformasikan oleh Android Authority dan dikuti dari penulis Android, Mishaal Rahman, fitur yang dikenal sebagai "link your devices" akan memberikan kemampuan kepada pengguna untuk dengan mudah beralih antara perangkat untuk keperluan panggilan dan juga berbagi koneksi internet.



Setelah dirilis, fitur tersebut akan menjadi bagian dari opsi yang dikenal sebagai "Link Your Devices" yang akan ditambahkan di dalam menu Settings > Google > Devices & sharing.


Fitur ini sepertinya mirip dengan fitur iOS bernama "iPhone Mobile Calls," yang memungkinkan pengguna untuk melakukan dan menerima panggilan tidak hanya dari ponsel mereka, tetapi juga dari perangkat Mac atau iPad. Untuk memanfaatkan fitur ini, setiap perangkat harus terhubung dengan akun iCloud dan menggunakan ID Apple yang sama. Selain itu, perangkat-perangkat tersebut harus aktifkan Wi-Fi dan terhubung ke jaringan yang sama melalui Wi-Fi atau Ethernet.


Rahman mengindikasikan bahwa fitur pengalihan panggilan kemungkinan akan mengandalkan alat pengembangan yang dijelaskan oleh Google dalam pratinjau I/O. Alat tersebut berpotensi memungkinkan fungsionalitas seperti streaming atau pemindahan panggilan dari ponsel ke tablet.


Sementara itu, dalam konteks "berbagi internet," tampaknya dapat memberikan kemudahan dalam "pengaturan dan penggunaan hotspot pribadi pada perangkat anda," seperti spekulasi dari Android Authority.

Google Mengembangkan Fitur Link Your Devices yang Mirip dengan Continuity Apple

 


Google Play Store disusupi oleh 43 aplikasi Android yang telah didownload sebanyak 2,5 juta kali. Aplikasi-aplikasi ini secara diam-diam memunculkan iklan saat layar ponsel dalam keadaan mati, yang pada akhirnya mengakibatkan konsumsi daya baterai yang berlebihan pada perangkat.


Mobile Research Team dari McAfee menemukan sejumlah aplikasi Android berbahaya dan telah menginformasikannya kepada Google karena pelanggaran terhadap kebijakan Google Play Store. Sebagai tanggapan, Google segera mengambil tindakan dengan menghapus aplikasi-aplikasi tersebut dari official store Android.


Mayoritas dari aplikasi-aplikasi tersebut merupakan aplikasi media streaming dan agregator berita, yang mayoritas audiensnya ditujukan kepada masyarakat Korea. Meskipun demikian, taktik penipuan yang sama dengan mudah dapat diterapkan pada berbagai kategori aplikasi dan beragam kelompok pengguna.


Walaupun aplikasi-aplikasi ini diklasifikasikan sebagai adware, mereka masih menghadirkan ancaman bagi pengguna dengan membuka potensi risiko terhadap profil pengguna, menguras daya baterai perangkat, mengonsumsi kuota data internet yang substansial, serta terlibat dalam penipuan terhadap pengiklan.



Bersembunyi di Google Play


Laporan dari McAfee menyebutkan bahwa adware disisipkan dalam aplikasi-aplikasi di Google Play yang berpura-pura sebagai aplikasi TV/DMB Player, Music Downloader, News dan Calendar.


Setelah terinstal di perangkat, aplikasi adware ini menunda aktivitas penipuan iklan mereka selama beberapa minggu, dengan tujuan untuk mengelabui pengguna dan menghindari pendeteksian oleh pihak peninjau di Google.


Menurut laporan dari McAfee, konfigurasi adware dapat diubah dan diperbarui secara remote melalui Firebase Storage atau Messaging. Hal ini memungkinkan para operator untuk mengadaptasi periode waktu dormansi dan parameter lainnya sesuai kebutuhan.



Android menggunakan fitur penghemat daya yang mengaktifkan mode siaga pada aplikasi saat perangkat tidak aktif. Fitur ini menghentikan aplikasi dari berjalan di background dan menggunakan sumber daya seperti CPU, memory dan jaringan.


Ketika aplikasi adware berbahaya terinstal, pengguna akan diberi opsi untuk mengecualikannya dari fitur penghemat daya Android. Ini memungkinkan aplikasi berbahaya untuk tetap berjalan di background meskipun fitur penghemat daya diaktifkan.


Dengan pengecualian ini, aplikasi adware memiliki kemampuan untuk mengambil dan memuat iklan bahkan saat layar perangkat dalam keadaan mati. Hal ini dilakukan dengan tidak adil untuk menghasilkan pendapatan, sementara pengguna tidak diberikan cara yang jelas untuk menyadari kegiatan yang sedang berlangsung.



McAfee mengamati bahwa ada kemungkinan bagi pengguna untuk melihat iklan yang dimuat sebentar saat mereka mengaktifkan layar perangkat sebelum iklan tersebut secara otomatis ditutup.


Namun demikian, tanda yang paling kuat mengenai kemungkinan kompromi adalah penggunaan baterai yang luar biasa tinggi ketika perangkat berada dalam keadaan diam.


Untuk memeriksa aplikasi yang paling banyak menggunakan energi pada perangkat Android anda, buka opsi "Settings → Battery → Battery Usage". Disini, anda akan melihat penggunaan energi dalam kategori "total" dan "background" dari aplikasi-aplikasi tersebut.


McAfee mencatat bahwa aplikasi adware juga meminta izin untuk draw over other apps, fungsi yang sering digunakan oleh trojan perbankan untuk menimbulkan halaman phishing di atas aplikasi e-banking yang sah. Namun, tidak ada tindakan phishing yang diamati dalam kasus ini.


Pengguna Android disarankan untuk secara konsisten membaca ulasan sebelum mendownload dan menginstal aplikasi, serta memeriksa izin yang diminta saat menginstal aplikasi baru sebelum memberikan izin untuk melanjutkan proses instalasi.

43 Aplikasi Google Play Memuat Iklan Saat Layar Mati

 


Tim keamanan Google Cloud mengakui bahwa aktor jahat sering menggunakan taktik umum yang dikenal sebagai "versioning" untuk menyelipkan malware ke perangkat Android. Taktik ini memungkinkan para pelaku untuk menghindari proses peninjauan dan kontrol keamanan yang ada di Google Play Store.


Teknik ini efektif dengan cara menyisipkan payload berbahaya melalui update yang dikirimkan ke aplikasi yang telah terinstal atau dengan memuat kode berbahaya dari server yang dikendalikan oleh pelaku ancaman. Proses ini dikenal sebagai Dynamic Code Loading (DCL), dimana kode berbahaya diambil dari server dan dieksekusi secara dinamis di perangkat pengguna.


Dengan menggunakan teknik ini, pelaku ancaman dapat menyuntikkan payload berbahaya mereka sebagai kode native, Dalvik atau JavaScript pada perangkat Android. Dengan demikian, itu dapat menghindari pemeriksaan analisis statis yang biasanya dilakukan oleh store aplikasi. Dengan menghindari pemeriksaan tersebut, mereka dapat dengan licik menyelipkan malware ke dalam aplikasi yang ada dan menyebarkannya ke perangkat pengguna tanpa terdeteksi secara langsung oleh sistem keamanan store aplikasi.


Dalam threat trends report tahun ini, perusahaan tersebut mengatakan bahwa salah satu cara pelaku kejahatan berusaha menghindari kontrol keamanan Google Play adalah dengan menerapkan versioning aplikasi.


Laporan tersebut juga menjelaskan bahawa versioning terjadi ketika seorang pengembang merilis versi awal aplikasi di Google Play Store yang tampak sah dan berhasil melewati pemeriksaan. Namun kemudian, mereka menerima update dari server pihak ketiga yang mengubah kode pada perangkat pengguna akhir yang memungkinkan aktivitas berbahaya untuk dilakukan.


Meskipun Google menyatakan bahwa semua aplikasi dan update yang diajukan ke Play Store telah melalui penyaringan ketat untuk mencegah aplikasi berpotensi berbahaya (Potentially Harmful Application - PHA), namun "beberapa kontrol tersebut" dapat dilewati melalui DCL.



Google menjelaskan bahwa aplikasi yang terlibat dalam aktivitas seperti itu melanggar kebijakan Google Play Deceptive Behavior dan dapat diberi label sebagai backdoor.


Menurut pedoman perusahaan Play Policy Center, aplikasi yang didistribusikan melalui Google Play dilarang dengan tegas untuk mengubah, mengganti atau mengupdate diri mereka sendiri melalui cara apapun selain menggunakan mekanisme update resmi yang disediakan oleh Google Play.


Selain itu, aplikasi juga dilarang dengan tegas untuk mendownload kode executable (seperti file dex, JAR atau .so) dari sumber eksternal ke App Store resmi untuk Android.


Google juga mengungkapkan tentang varian malware khusus yang bernama SharkBot, yang pertama kali terdeteksi oleh Threat Intelligence Team Cleafy pada Oktober 2021 dan diketahui menggunakan teknik ini secara luas di lingkungan yang tidak terkendali.


SharkBot adalah jenis malware perbankan yang berfungsi dengan cara merusak perangkat Android dan kemudian melakukan transfer uang ilegal melalui protokol Automated Transfer Service (ATS).


Agar tidak terdeteksi oleh sistem Play Store, para pelaku ancaman yang bertanggung jawab atas SharkBot telah menerapkan strategi umum dengan merilis versi aplikasi dengan fungsi terbatas di Google Play. Mereka menyembunyikan sifat mencurigakan aplikasi mereka untuk mengelabui mekanisme keamanan store aplikasi.


Namun, setelah pengguna mendownload aplikasi trojan tersebut, aplikasi tersebut secara otomatis akan mendownload versi lengkap dari malware ke perangkat pengguna.


Sharkbot telah menyamar sebagai software antivirus Android dan berbagai utilitas sistem dan berhasil menginfeksi ribuan pengguna melalui aplikasi yang berhasil lolos pemeriksaan pengajuan di Google Play Store untuk perilaku berbahaya.


Reporter keamanan siber, Brian Krebs, juga telah menyoroti penggunaan berbagai teknik penyamaran malware seluler yang digunakan untuk tujuan yang sama. Baru-baru ini, peneliti keamanan dari ThreatFabric telah mengungkapkan beberapa teknik tersebut.


Metode ini berhasil dengan efektif mengacaukan tool analisis aplikasi Google dan menghalangi scan APK berbahaya (paket aplikasi Android). Dampaknya, APK berbahaya ini akan berhasil diinstal di perangkat pengguna, meskipun diberi label tidak valid.

Bagaimana Malware Android Menyelinap ke Google Play Store?

 


Hacker menggunakan aplikasi Android palsu bernama 'SafeChat' untuk menginfeksi perangkat dengan malware spyware yang mencuri log panggilan, teks dan lokasi GPS dari ponsel.


Sebuah Spyware Android yang diduga merupakan varian dari "Coverlm" dilaporkan telah ditemukan. Spyware ini memiliki kemampuan untuk mencuri data dari aplikasi komunikasi seperti Telegram, Signal, WhatsApp, Viber dan Facebook Messenger.


Menurut peneliti CYFIRMA, kampanye tersebut diyakini dilakukan oleh kelompok peretas APT India yang dikenal sebagai Bahamut. Kelompok ini melakukan serangan terbaru melalui pesan phishing berbahaya di WhatsApp, dimana mereka mengirimkan payload berbahaya langsung ke korban.


Selain itu, para analis CYFIRMA telah menyoroti beberapa kesamaan TTP dengan kelompok ancaman lain yang disponsori oleh negara India, yaitu 'DoNot APT' (APT-C-35). Kelompok ini sebelumnya telah menyusupkan Google Play dengan aplikasi obrolan palsu yang sebenarnya berperan sebagai spyware.


Pada akhir tahun lalu, ESET melaporkan bahwa grup Bahamut telah menggunakan aplikasi VPN palsu untuk platform Android yang menyertakan fungsi spyware yang sangat canggih.


Dalam kampanye terbarunya yang diamati oleh CYFIRMA, Bahamut telah menyasar individu-individu di wilayah Asia Selatan.



Detail "Safe Chat"


Walaupun CYFIRMA tidak menyelidiki secara khusus aspek rekayasa sosial dari serangan ini, namun biasanya para korban dipengaruhi atau dibujuk untuk mendownload dan menginstal aplikasi obrolan dengan dalih bahwa platform tersebut lebih aman untuk mengalihkan percakapan.


Analis melaporkan bahwa Safe Chat menampilkan antarmuka yang menipu, sehingga aplikasi tersebut terlihat seperti aplikasi obrolan yang sebenarnya. Selain itu, aplikasi ini juga mengarahkan korban melalui proses pendaftaran pengguna yang tampak sah, yang memberikan kesan kredibilitas dan berfungsi sebagai cover yang sangat baik untuk spyware.


Satu langkah penting dalam proses infeksi adalah mendapatkan izin untuk menggunakan Layanan Aksesibilitas, yang selanjutnya disalahgunakan untuk memberikan izin tambahan secara otomatis kepada spyware.


Dengan izin tambahan ini, spyware memiliki akses ke berbagai data penting dari perangkat yang terinfeksi, termasuk daftar kontak korban, pesan SMS, log panggilan, penyimpanan perangkat eksternal, serta data lokasi GPS yang akurat.



Aplikasi juga meminta pengguna untuk memberikan pengecualian dari subsistem pengoptimalan baterai Android. Hal ini akan mencegah sistem untuk menghentikan proses latar belakang aplikasi saat pengguna tidak aktif terlibat dengan aplikasi tersebut.


Peneliti CYFIRMA mengatakan bahwa cuplikan lain dari file Manifest Android menunjukkan bahwa para pelaku ancaman merancang aplikasi untuk berinteraksi dengan aplikasi obrolan lain yang telah diinstal. Interaksi akan terjadi melalui intent, dengan izin OPEN_DOCUMENT_TREE untuk memilih direktori tertentu dan mengakses aplikasi yang tercantum dalam intent (Intent merupakan jembatan yang menghubungkan interaksi antar activity di Android).



Modul eksfiltrasi data ini dirancang khusus untuk mentransfer informasi dari perangkat ke server C2 (Command and Control) penyerang melalui port 2053.


Data yang telah dicuri akan dienkripsi menggunakan modul lain yang mendukung algoritma RSA, ECB dan OAEPPadding. Selain itu, penyerang juga menggunakan sertifikat "letsencrypt" untuk menghindari upaya penyadapan data jaringan yang mungkin dilakukan terhadap mereka.


Dalam kesimpulannya, CYFIRMA mengatakan bahwa laporan tersebut telah mengumpulkan bukti yang cukup untuk mengaitkan kelompok Bahamut dengan bekerja atas nama pemerintah negara bagian tertentu di India.


Selain itu, mereka menggunaan otoritas sertifikat yang sama dengan grup DoNot APT, pendekatan pencurian data yang serupa, sasaran penargetan yang mirip dan strategi penggunaan aplikasi Android untuk menyusup ke target menunjukkan adanya tumpang tindih atau kolaborasi yang erat antara kedua grup tersebut.

Hacker Menggunakan Aplikasi Android Palsu Untuk Mencuri Data Pengguna

 


Setelah berhasil menjangkau pengguna iPhone, OpenAI akhirnya meluncurkan aplikasi ChatGPT untuk platform Android.


Setelah merilis teaser minggu lalu, aplikasi ChatGPT dari OpenAI ini akhirnya resmi diluncurkan hari ini di Google Play Store. Untuk saat ini, aplikasi Android hanya dapat diakses oleh pengguna di AS, India, Bangladesh dan Brasil. Namun, OpenAI memiliki rencana untuk memperluas akses ke lebih banyak negara dalam beberapa hari mendatang.



Aplikasi ini gratis dan dapat disinkronkan dengan aktivitas di ChatGPT berbasis web, sehingga anda dapat melihat riwayat obrolan anda. Selain itu, anda memiliki opsi untuk menghapus riwayat obrolan dan memilih untuk tidak membiarkan OpenAI menggunakan data anda untuk tujuan pelatihan melalui tab kontrol data dalam aplikasi.


Seperti versi iOS, aplikasi Android juga menyediakan fitur input suara. Anda hanya perlu mengetuk ikon mikrofon yang ada di sebelah kotak teks untuk mulai mengucapkan permintaan anda. Setelah selesai berbicara, anda cukup mengetuk aplikasi lagi dan fitur tersebut akan berhenti merekam dan mentranskripsikan kata-kata anda menjadi teks.


Saat ini, tampaknya aplikasi Android hanya mendukung akses ke model GPT-3.5 seperti pada versi web-nya dan belum mencakup algoritme GPT-4 yang lebih baru. Fitur berbayar ChatGPT Plus juga sedang dalam proses pendaftaran dan diharapkan akan segera hadir.


Dengan merombak aplikasi Android, dapat membuka peluang baru untuk mengundang lebih banyak pengguna ke ChatGPT dan mengatasi stagnasi traffic pengguna dalam beberapa minggu terakhir. Setelah beberapa bulan pertumbuhan yang meroket, saatnya untuk memperbarui dan meningkatkan pengalaman pengguna agar tetap menarik dan relevan. Ini adalah salah satu cara untuk menanggapi tuduhan bahwa ChatGPT semakin bodoh. Meskipun model bahasa berbasis AI seperti GPT-3.5 memiliki kemampuan hebat dalam memahami teks dan memberikan tanggapan yang berarti, terus meningkatkan model dan memberlakukan pembelajaran terus-menerus akan membantu menjaga ketajaman dan kualitas tanggapannya.


Fitur "custom instructions" yang diperkenalkan pada ChatGPT Plus adalah langkah yang cerdas untuk lebih mempersonalisasi tanggapan dari ChatGPT. Dengan memberikan instruksi khusus kepada model, pengguna dapat mengarahkan respons ChatGPT ke arah yang lebih sesuai dengan preferensi dan kebutuhan mereka. Ini tidak hanya meningkatkan pengalaman pengguna secara keseluruhan, tetapi juga membantu menciptakan hubungan yang lebih kuat antara pengguna dan teknologi.

Aplikasi ChatGPT Untuk Android Akhirnya Diluncurkan

Subscribe to: Posts (Atom)