Jul Ismail

Sophisticated Financial Fraud Malware

Kali ini saya coba lanjutkan share materi dari Kr-CERT (Korea) tentang Sophisticated Financial Fraud Malware.  Menurut laporan Kaspersky terjadi peningkatan jumlah mobile malware. Pada tahun 2014 hanya ada 295.593 mobile malware baru. Sementara pada tahun 2015 ditemukan 884.774 mobile malware baru. Berarti pada tahun 2015 terjadi peningkatan 3x lipat. Namun terjadi penurunan jumlah mobile banking trojan. Pada tahun 2014 dilaporkan ada 16.586 mobile banking trojan baru. Sementara pada tahun 2015 dilaporkan 7.030 mobile banking trojan.

Financial mobile malware

Kemudian dilaporkan juga perkembangan mobile malware di bidang keuangan di Korea yang dirangkum dalam sebuah timeline. Timelineya adalah sebagai berikut:

  • 2012: ditemukan adanya mobile malware yang mencuri kode authentikasi transaksi e-banking yang dikirimkan melalui SMS (stealing sms authentication)
  • 2013: ditemukan malware yang mencuri certificate authentication resmi
  • 2013: ditemukan malware yang berusaha meyakinkan korban untuk menginput informasi e-bankingnya, seperti no akun, nomer pin dll
  • 2014: dilaporkan adanya malware yang melakukan bypass terhadap pengiriman ARS authentication confirmation
  • 2014: Ditemukan malware yang berusaha mematikan antivirus
  • 2014: Detemukan malware yang melakukan Voice Phishing connection
  • 2014: Ditemukan malware yang menggunakan teknik Delete Obstruction
  • 2015: Ditemukan malware yang menggunakan teknik packing/protecting
  • 2015: Ditemukan malware yang memiliki IP C2 server yang berubah

Selain itu dilaporkan juga timeline Financial Fraud Malware untuk PC di Korea sebagai berikut:

  • 2004:  Phishing
  • 2007: Pharming Host
  • 2013: Pharming host.ics
  • 2014: Pharming iframe monitor (Internet Explorer), VPN Tunelling, compromised DNS, memory patch
  • 2015: home router vulnerability
  • 2016: PAC (Proxy auto config)

Penyebaran malware

Penyebaran malware perbankan di Korea melalui aplikasi android palsu, diantaranya menyamar menjadi aplikasi berikut:

  • aplikasi chrome,
  • aplikasi adobe install flash player setting,
  • layanan delivery,
  • undangan pernikahan,
  • kantor kejaksaan,
  • aplikasi perbankan.

Penyerang terlebih dahulu meretas sebuah web server dengan memanfaatkan celah keamanan pada fitur upload file.  Dengan celah keamanan ini penyerang dapat menjalankan file webshell. Web server ini kemudian digunakan untuk menyebarkan aplikasi android palsu, dan PC malware (pharming).

Aplikasi palsu android ini menyamar sebagai aplikasi flash player setting untuk meminta hak akses administrator pada perangkat. Pada kasus lain ditemukan juga malware yang menyamar jadi aplikasi messenger palsu. Aplikasi ini akan meminta korban memasukan nama, Social security number. Selain itu malware mencuri informasi dari perangkat seperti (Phone Number, Build Version) dan melakukan Rooting.

Pada web server yang diretas ditemukan malware mampu merubah konfigurasi internet korban dengan menggunakan (Proxy Auto-Configuration, PAC Script). Selain itu bila korban mengunjungi beberapa portal terkemuka,  malware juga menampilkan pop-up dengan pesan dalam bahasa Korea. Pesan pop-up tersebut bila diterjemahkan ke dalam bahasa Inggris adalah sebagai berikut:

Do you have a security software or program in your PC or Do you have a security card?
Due to hacking incidents and potential of compromising users’ information if you want to use internetbanking you need to do identification procedure.

Sampai disini dulu, karena presentasinya masih panjang insyaallah saya akan lanjutkan pada tulisan berikutnya.

Semoga Bermanfaat!

 

julismail

Silahkan tuliskan tanggapan, kritik maupun saran