Lebih dari 10M Ponsel Android Terinfeksi Malware GriftHorse – Malware Android yang baru dan sukses telah menginfeksi lebih dari 10 juta perangkat di lebih dari 70 negara. Malware itu disebut GriftHorse dan ditemukan oleh para peneliti di perusahaan keamanan seluler Zimperium. Skala tipis perangkat yang terinfeksi yang telah terbang di bawah radar sampai sekarang adalah karena metode distribusi, yang bergantung pada “aplikasi yang tampak jinak” yang tersedia untuk diunduh melalui Google Play store
Lebih dari 10M Ponsel Android Terinfeksi Malware GriftHorse
shareitappforpc – Skala tipis perangkat yang terinfeksi yang telah terbang di bawah radar sampai sekarang adalah karena metode distribusi, yang bergantung pada “aplikasi yang tampak jinak” yang tersedia untuk diunduh melalui Google Play store. Ini juga membantu bahwa tidak ada vendor anti-virus yang mendeteksi malware yang dikandungnya. Setelah diinstal, aplikasi ini menampilkan pop-up dan pemberitahuan kepada pengguna untuk penawaran dan hadiah khusus. Jika salah satu dari mereka disadap, pengguna diminta memasukkan nomor telepon mereka untuk mendapatkan penawaran atau hadiah.
Baca Juga : Apple Mengembangkan Monitor Kesehatan Mental Untuk Ios
Dengan melakukan itu, mereka secara tidak sadar mendaftar untuk layanan SMS premium yang mengenakan biaya $35 atau lebih setiap bulannya. Tentu saja, uang itu diarahkan ke tangan geng di belakang GriftHorse. Dengan lebih dari 10 juta perangkat yang terinfeksi, diperkirakan geng tersebut menghasilkan pendapatan antara $ 1,5 juta dan $ 4 juta setiap bulan. Menurut peneliti Zimperium Aazim Yaswant dan Nipun Gupta, keberhasilan GriftHorse disebabkan oleh “kualitas kode malware, menggunakan spektrum situs web yang luas (194 domain), aplikasi berbahaya, dan persona pengembang untuk menginfeksi pengguna dan menghindari deteksi sebanyak mungkin. mungkin.”
Skala ekosistem aplikasi yang terinfeksi juga mengesankan dan mencakup lebih dari 200 aplikasi yang tersebar di 18 kategori berbeda termasuk alat, teka-teki, komunikasi, kencan, gaya hidup, keuangan, balap, hiburan, musik dan audio, kesehatan dan kebugaran, produktivitas, simulasi, makanan dan minuman, olahraga, pendidikan, papan, aksi, dan personalisasi. Untungnya, aplikasi ini telah dihapus setelah Zimperium menghubungi Google terkait malware tersebut, tetapi telah beroperasi setidaknya sejak November 2020, menimbulkan pertanyaan tentang seberapa teliti ulasan aplikasi di Play Store.
Anda mungkin disarankan untuk tidak melihat kuda hadiah di mulut, agar Anda tidak terlihat tidak tahu berterima kasih karena mempertanyakan kesehatannya. Tetapi Anda mungkin ingin memeriksa ponsel Android Anda untuk GriftHorse, atau lebih tepatnya untuk salah satu dari 200 atau lebih aplikasi dengan nama berbeda yang memasukkan kode berbahaya. Perusahaan keamanan seluler Zimperium, yang pertama kali mengidentifikasi Trojan Android GriftHorse, mengatakan malware tersebut telah menginfeksi lebih dari 10 juta perangkat Android di seluruh dunia; sebagian kecil dari satu persen perangkat droid yang aktif, tetapi masih merupakan kesengsaraan bagi jutaan orang.
Dalam sebuah posting blog pada hari Rabu, peneliti Zimperium Aazim Yaswant dan Nipun Gupta mengatakan bahwa kode Trojan yang dijuluki GriftHorse telah terlihat di lebih dari 200 aplikasi berbahaya di setidaknya 70 negara yang berbeda dan telah menyerang ponsel Android sejak November 2020. Zimperium bermitra dengan Google untuk membela Play Store raksasa iklan dan dengan demikian telah memberi tahu Pabrik Cokelat tentang temuannya. Google, kami diberitahu, telah menjinakkan souk online-nya. Jadi meninjau daftar panjang aplikasi yang terpengaruh di posting blog Zimperium mungkin tidak diperlukan untuk perangkat Android yang terkait dengan Google Play.
Tetapi kode subversif mungkin masih ada di aplikasi Android yang didistribusikan melalui toko pihak ketiga, kata para peneliti, secara kebetulan menggemakan poin pembicaraan yang disukai oleh Google dan Apple tentang mempertahankan kontrol toko aplikasi mereka demi keamanan. Aplikasi GriftHorse dirancang untuk membuat pengguna Android berlangganan layanan premium tanpa izin mereka, mengakibatkan biaya sekitar €36 per bulan ($42) hingga diketahui dan dibatalkan oleh korban. Penipuan khusus ini, para peneliti berspekulasi, mungkin telah menjaring pencipta GriftHorse jutaan euro.
“Setelah terinfeksi, korban dibombardir dengan peringatan di layar yang memberi tahu mereka bahwa mereka telah memenangkan hadiah dan harus segera mengklaimnya,” jelas Yaswant dan Gupta. “Pop-up ini muncul kembali tidak kurang dari lima kali per jam hingga pengguna aplikasi berhasil menerima tawaran tersebut.”
Setelah pengguna menerima, mereka menjelaskan, kode berbahaya mengarahkan korban ke halaman web yang disesuaikan untuk lokasi spesifik mereka yang kemudian meminta nomor telepon sebagai verifikasi. Angka tersebut sebenarnya masuk ke dalam langganan layanan SMS premium yang menambah biaya tambahan pada tagihan bulanan ponsel korban. Kesamaan aplikasi GriftHorse adalah bahwa mereka dibangun dengan kerangka kerja Apache Cordova open source, yang bergantung pada teknologi web seperti HTML, CSS, dan JavaScript dan menyediakan cara untuk mendorong pembaruan secara otomatis ke aplikasi tanpa campur tangan pengguna.
Setelah diinstal, aplikasi GriftHorse mengambil file terenkripsi yang disimpan di folder assets/www APK dan mendekripsinya menggunakan AES/CBC/PKCS5Padding. File index.html yang dihasilkan kemudian dimuat melalui kelas Android WebView. Ini ditautkan ke file js/index.js yang menyiapkan ID Iklan Google dan membuat permintaan POST dengan muatan terenkripsi ke server command-and-control (C2C). Server merespons dengan lebih banyak data terenkripsi – URL C&C tahap kedua, yang digunakan untuk membuat permintaan GET melalui InAppBrowser Cordova untuk mengambil data konfigurasi untuk mendorong pemberitahuan hadiah.
Jika pengguna menanggapi pemberitahuan, URL tahap ketiga disajikan sebagai halaman web dalam aplikasi untuk mengumpulkan nomor telepon korban. Skema ini bergantung pada kode JavaScript yang disematkan untuk berinteraksi dengan sumber daya perangkat seluler.
“Interaksi antara Halaman Web dan fungsi dalam aplikasi difasilitasi oleh Antarmuka JavaScript, yang memungkinkan kode JavaScript di dalam WebView untuk memicu tindakan dalam kode tingkat (aplikasi) asli,” jelas Yaswant dan Gupta. “Ini dapat mencakup pengumpulan data tentang perangkat, termasuk IMEI, dan IMSI antara lain.”
Para peneliti mencatat bahwa keberhasilan GriftHorse sebagian dapat dikaitkan dengan tidak menggunakan kembali string umum dalam kode aplikasi, yang menghindari deteksi dan pemblokiran berbasis pola. Register bertanya kepada Google apakah itu mengantisipasi kebutuhan untuk membatasi mekanisme pembaruan yang digunakan dalam aplikasi Android yang dibuat dengan Apache Cordova, tetapi kami belum mendapat tanggapan.
Lebih dari 10 juta smartphone Android dilaporkan telah terkena malware baru yang disebut GriftHorse. Ditemukan oleh para peneliti di perusahaan keamanan seluler Zimperium, penelitian tersebut menunjukkan bahwa kelompok ancaman tersebut telah menjalankan kampanye tersebut sejak November 2020. Perusahaan riset tersebut mencatat bahwa malware GriftHorse didistribusikan melalui Google Play dan toko aplikasi pihak ketiga dan mencuri “ratusan juta Euro” dari pengguna yang terpengaruh. Malware menyamar dalam kode aplikasi dan menipu pengguna untuk mengklik tautan mencurigakan untuk mengalihkan uang ke akun mereka.
Penelitian Zimperium mengklaim aplikasi Android berbahaya ini pada awalnya tampak “tidak berbahaya” dalam hal aplikasi mereka deskripsi dan izin yang diminta; namun, mereka pada dasarnya menipu pengguna untuk berlangganan layanan premium tanpa sepengetahuan dan persetujuan mereka untuk mengambil uang. Dalam sebuah posting blog, perusahaan mengatakan aplikasi berbahaya menimbulkan ancaman bagi semua perangkat Android dengan berfungsi sebagai Trojan dan membebankan premi sekitar EUR 36 (sekitar Rs 3.100) per bulan. Kampanye tersebut dilaporkan telah menargetkan jutaan pengguna dari lebih 70 negara dengan menyajikan halaman berbahaya selektif kepada pengguna berdasarkan geo-lokasi alamat IP mereka dengan bahasa lokal.
Baca Juga : Perangkat IoT Yang Berdampak Terkena Masalah Cyber
Karena penyebaran kampanye ini dalam bahasa lokal, serangan tersebut tampaknya memiliki tingkat keberhasilan yang lebih tinggi. Kampanye GriftHorse adalah salah satu “kampanye terluas” yang telah disaksikan oleh tim peneliti ancaman zLabs pada tahun 2021, catat perusahaan tersebut. GriftHorse pada dasarnya mengirimkan popup dan notifikasi canggih, menjanjikan berbagai hadiah dan penawaran khusus. Pengguna yang mengetuk notifikasi ini akan diarahkan ke halaman online di mana mereka diminta untuk mengonfirmasi nomor telepon mereka untuk mengakses penawaran. Namun, pengguna berlangganan layanan SMS khusus yang membebankan biaya premium – kemudian dialihkan ke akun operator.
Beberapa aplikasi populer yang terinfeksi malware kuda GriftHorse termasuk Handy Translator Pro, Heart Rate and Pulse Tracker, Geospot: GPS Location Tracker, iCare – Find Location, dan My Chat Translator. Menurut perusahaan, pengguna di India juga terpengaruh. Zimperium, yang merupakan anggota dari App Defense Alliance, mengatakan telah menghubungi Google tentang semua aplikasi yang terinfeksi GriftHorse, yang kini telah dihapus dari Play Store. Namun, aplikasi ini mungkin masih ada di toko aplikasi pihak ketiga.