Aplikasi Android sareng ios palsu maok SMS sareng kontak di Koréa Kidul

Diposting pada

Ditulis ku Dexter Shin

Kaseueuran jalma ayeuna gaduh smartphone anu tiasa gampang milarian rupa-rupa topik anu pikaresepeun dina Internét. Topik ieu tiasa ngeunaan ningkatkeun privasina, tetep pas sareng kagiatan sapertos Pilates atanapi yoga, atanapi bahkan milarian jalma énggal pikeun diajak ngobrol. Janten, perusahaan nyiptakeun aplikasi sélulér pikeun ngagampangkeun hal pikeun pangguna sareng ngiklankeun aplikasi éta dina situs wébna. Tapi éta aman pikeun ngundeur aplikasi ieu diémbarkeun via pilarian ramatloka?

Tim Panaliti Seluler McAfee nembé ningali aplikasi anu nyolong inpormasi Android sareng ios anu dikirimkeun ngalangkungan situs phishing. Malware éta aktip dina awal Oktober sareng parantos dipasang dina langkung ti 200 alat, numutkeun telemétri McAfee. Sadaya alat ieu ayana di Koréa Kidul. Nganggap yén sadaya situs distribusi phishing masih aktip dina waktos tulisan ieu ditulis, diperkirakeun yén jumlah alat anu kapangaruhan bakal terus ningkat.

Pangarang malware milih jasa anu tiasa dipikaresep ku jalma sareng narik korban ku cara nyamur jasana. Éta ogé nyiptakeun situs phishing anu ngagunakeun sumber daya tina situs anu sah, ngajantenkeun aranjeunna katingali idéntik sareng nipu pangguna kana pamikiran yén situs éta mangrupikeun situs resmi aplikasi anu aranjeunna hoyong pasang. Situs phishing ogé nyayogikeun vérsi Android sareng ios pikeun aplikasi jahat. Nalika pamaké ahirna ngundeur tur ngajalankeun aplikasi ngaliwatan situs phishing ieu, informasi kontak maranéhanana sarta pesen SMS dikirim ka pangarang malware. McAfee Mobile Security ngadeteksi ancaman ieu salaku Android/SpyAgent. Kanggo inpo nu leuwih lengkep, mangga buka McAfee Mobile Security.

Kumaha ngadistribusikaeunana
Kami nembe ngenalkeun SpyNote ngalangkungan kampanye phishing anu nargétkeun Jepang. Sakali kami mendakan malware ieu sareng mastikeun yén éta nargétkeun Koréa Kidul, kami curiga yén éta ogé disebarkeun ku kampanye phishing. Janten urang nalungtik sababaraha komunitas di Korea. Salah sahijina, anu disebut Arca Live, urang tiasa mastikeun metode distribusi anu pasti.

Aranjeunna mimitina ngadeukeutan korban ngalangkungan pesen SMS. Dina tahap ieu, penipu nyamar janten awéwé sareng ngirim pesen anu pikaseurieun dibarengan ku poto. Saatos ngobrol sakedik, aranjeunna nyobian ngalihkeun panggung ka LINE messenger. Saatos ngalih ka LINE Messenger, penipu janten langkung agrésif. Aranjeunna ngirimkeun tautan ka korban pikeun nelepon pidéo sareng nyarios éta ngan ukur kedah dilakukeun nganggo aplikasi anu nyegah pidéo dicandak. Tautan mangrupikeun situs phishing dimana aplikasi jahat bakal diunduh.

Gambar 1. Nyebarkeun situs phishing tina LINE messenger saatos gentos tina SMS (Téks Beureum: Scammers, Teks Biru: Korban)

Naon anu dilakukeun ku situs phishing

Hiji situs phishing nyamar Camtalk, aplikasi jejaring sosial anu sah anu sayogi di Google Play Store sareng Apple App Store, pikeun nipu pangguna pikeun ngaunduh aplikasi Android sareng iOS anu jahat tina server jauh. Éta ngagunakeun téks, tata perenah, sareng tombol anu sami sareng halaman wéb Camtalk anu sah, tapi sanés alihan pangguna ka toko aplikasi resmi, éta maksa aranjeunna pikeun ngaunduh aplikasi jahat sacara langsung:

Gambar 2. Babandingan situs anu sah (Kénca) sareng situs phishing (Katuhu)

Salian ti pura-pura janten aplikasi jejaring sosial, pangarang malware di tukangeun kampanye ieu ogé ngagunakeun téma anu béda dina situs phishing na. Contona, aplikasi dina gambar kahiji di handap nawarkeun gudang dumasar-awan pikeun poto jeung pungsionalitas dimekarkeun, kitu ogé aplikasi albeum standar nu mibanda kamampuhan pikeun ngajaga albeum nu dipikahoyong ku cara nyetel kecap akses. Sareng aplikasi dina gambar kadua sareng katilu ditujukeun pikeun yoga sareng kabugaran, mamingan pangguna ku topik anu tiasa gampang dipilarian caket dieu. Anu penting nyaéta biasana jinis aplikasi ieu henteu meryogikeun idin pikeun ngakses SMS sareng kontak.

Gambar 3. Loba situs phishing dina sagala rupa widang

Sadaya situs phishing anu kami mendakan di-host dina alamat IP anu sami sareng ngadorong pangguna pikeun ngaunduh aplikasi ku ngaklik ikon Google Play atanapi ikon App Store.

Gambar 4. Aliran download file aplikasi jahat

Nalika pangguna ngaklik tombol toko aplikasi, alatna mimiti ngaunduh jinis file anu cocog (Android APK atanapi ios IPA) pikeun tiap alat tina server jauh, sanés tina toko aplikasi resmi. Teras alat naroskeun ka pangguna pikeun masangana.

Gambar 5. Prosés instalasi aplikasi dina Android

Gambar 6. Prosés instalasi aplikasi dina ios

Kumaha asup malware ios

Ios gaduh kawijakan anu langkung ketat ngeunaan sideloading dibandingkeun sareng Android. Dina alat ios, upami hiji aplikasi henteu ditandatanganan ku tanda tangan pamekar atanapi sertipikat anu valid, aplikasi éta kedah didaptarkeun sacara manual. Ieu lumaku nalika nyobian masang aplikasi dina alat ios tina sumber sanés ti toko aplikasi resmi. Janten, léngkah-léngkah tambahan diperyogikeun pikeun masang aplikasi.

Gambar 7. Kudu pariksa sertipikat pamekar on ios

Nanging, malware ios ieu nyobian ngaliwat prosés ieu nganggo metode anu unik. Sababaraha pamaké iPhone hoyong ngundeur aplikasi ngaliwatan toko pihak katilu tinimbang Apple App Store. Aya seueur jinis toko sareng alat dina Internét, tapi salah sahijina disebut Scarlet. Toko ngabagi sertipikat perusahaan, ngajantenkeun pangembang atanapi kurupuk anu hoyong nganggo toko pikeun ngabagi aplikasina ka pangguna. Dina basa sejen, sabab pamaké geus nyetel sertipikat ka ‘Amanah’ nalika masang aplikasi disebut Scarlet, aplikasi sejenna ngagunakeun sertipikat sarua dipasang sanggeus eta bakal otomatis diverifikasi.

angka 8. Aplikasi diverifikasi otomatis sanggeus instalasi toko pihak-katilu

Sertipikat perusahaanna ogé tiasa gampang diunduh ku pangguna umum.

Gambar 9. Sertipikat perusahaan dibagikeun via utusan

ios malware ngagunakeun sertipikat ieu. Janten, pikeun alat anu parantos ngagaduhan sertipikat anu dipercaya nganggo Scarlet, teu aya léngkah tambahan anu diperyogikeun pikeun ngaéksekusi malware ieu. Saatos dipasang, aplikasi tiasa dijalankeun iraha waé.

Angka 10. Verifikasi otomatis sareng aplikasi anu tiasa dieksekusi

Naon maranéhna rék

Sadaya aplikasi ieu gaduh kode anu sami, ngan nami sareng ikon aplikasi anu béda. Dina kasus Android, aranjeunna peryogi idin pikeun maca kontak sareng SMS anjeun.

Gambar 11. Aplikasi jahat merlukeun idin sénsitip (Android)

Dina fungsi getDeviceInfo (), android_id jeung nomer telepon alat korban dikirim ka server C2 pikeun tujuan ngaidentipikasi unggal alat. Salajengna, dina fungsi ieu, sadaya inpormasi kontak pangguna sareng pesen SMS dikirim ka server C2.

Gambar 12. Data sénsitip dipaling ku malware (Android)

Sareng dina kasus ios, aranjeunna ngan ukur peryogi idin pikeun maca kontak anjeun. Sarta merlukeun pamaké pikeun nuliskeun nomer telepon maranéhna pikeun asup ka kamar obrolan. Tangtu ieu dipigawé pikeun ngaidentipikasi korban dina server C2.

Gambar 13. Aplikasi jahat merlukeun idin sénsitip (iOS)

Sarupa sareng Android, aya kode dina ios anu ngumpulkeun inpormasi kontak sareng data dikirim ka server C2.

Gambar 14. Data sénsitip dipaling ku malware (iOS)

kacindekan
Fokus kampanye lumangsung ieu nargétkeun Koréa Kidul sarta jadi jauh 10 situs phishing geus kapanggih. Kampanye ieu berpotensi tiasa dianggo pikeun tujuan jahat anu sanés maok nomer telepon korban, kontak anu aya hubunganana, sareng pesen SMS. Ku alatan éta, pamaké kudu mertimbangkeun sagala ancaman poténsi dina hal ieu, sakumaha data sasaran ku pangarang malware jelas, sarta parobahan bisa dijieun kana aspék dipikawanoh jadi jauh.

Pamaké tetep kedah ati-ati, sanaos aranjeunna yakin yén aranjeunna aya dina halaman wéb resmi. Upami pamasangan aplikasi henteu dilakukeun ngalangkungan Google Play Store atanapi Apple App Store, maka kacurigaan diperyogikeun. Salaku tambahan, pangguna kedah salawasna pariksa nalika aplikasi menta idin anu sigana teu aya hubunganana sareng tujuanana. Kusabab hese pikeun pamaké pikeun aktip nungkulan sagala ancaman ieu, kami nyarankeun pisan yén pamaké install software kaamanan dina alat maranéhanana sarta tetep up to date. Ku ngagunakeun produk McAfee Mobile Security, pangguna tiasa ngajaga alatna sareng ngirangan résiko anu aya hubunganana sareng jinis malware ieu, nyayogikeun pangalaman anu langkung aman sareng langkung aman.

Indikator Kompromi (IOC)

Indikator Tipe Indikator Émbaran
hxxps://jinyoga[.]warung/ URL Situs phishing
hxxps: // mysecret-album[.]com/ URL Situs phishing
hxxps://pilatesyoaa[.]com/ URL Situs phishing
hxxps://sweetchat19[.]com/ URL Situs phishing
hxxps://sweetchat23[.]com/ URL Situs phishing
hxxps: // telegraming[.]pro/ URL Situs phishing
hxxps://dl.yoga-jin[.]com/ URL Situs phishing
hxxps://aromyoga[.]com/ URL Situs phishing
hxxps: // ngawangkong-ngojay[.]com/ URL Situs phishing
hxxps: // spykorea[.]warung/ URL Situs phishing
hxxps://api.sweetchat23[.]com/ URL palayan C2
hxxps://somaonvip[.]com/ URL palayan C2
ed0166fad985d252ae9c92377d6a85025e9b49cafdc06d652107e55dd137f3b2 SHA256 APK Android
2b62d3c5f552d32265aa4fb87392292474a1c3cd7f7c10fa24fb5d486f9f7665 SHA256 APK Android
4bc1b594f4e6702088cbfd035c4331a52ff22b48295a1dd130b0c0a6d41636c9 SHA256 APK Android
bb614273d75b1709e62ce764d026c287aad1fdb1b5c35d18b45324c32e666e19 SHA256 APK Android
97856de8b869999bf7a2d08910721b3508294521bc5766a9dd28d91f479eeb2e SHA256 ios IPA
fcad6f5c29913c6ab84b0bc48c98a0b91a199ba29cbfc5becced105bb9acefd6 SHA256 ios IPA
04721303e090160c92625c7f2504115559a124c6deb358f30ae1f43499b6ba3b SHA256 ios Mach-O binér
5ccd397ee38db0f7013c52f68a4f7d6a279e95bb611c71e3e2bd9b769c5a700c SHA256 ios Mach-O binér

Nepangkeun McAfee+

Maling identitas sareng panyalindungan privasi pikeun kahirupan digital anjeun


#Aplikasi #Android #sareng #ios #palsu #maok #SMS #sareng #kontak #Koréa #Kidul

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *