Penyebaran malware Android

Ada berbagai macam cara penyebaran malware Android.Diantaranya ada yang dikenal dengan teknik repackaging, update attack dan drive-by-download.

Repackaging adalah teknik membungkus ulang sebuah aplikasi Android. Teknik ini merupakan teknik yang banyak ditemukan pada malware Android. Teknik yang digunakan adalah pembuat malware mengunduh sebuah aplikasi Android, kemudian membungkus atau menambah fungsi jahat (malicious payload) pada aplikasi tersebut. Aplikasi yang sudah ditambahkan malware ini kemudian disebarkan dengan mengunggah aplikasi tersebut pada Android Market resmi maupun Android Market alternatif. Contohnya pembuat malware mengunduh aplikasi Angry Bird dari Google Play. Kemudian menambahkan malicious payload dan menyebarkannya pada market alternatif. Ketika pengguna mengunduh dan menjalankan aplikasi Angry Bird ini, aplikasi akan berjalan seperti Angry Bird versi resmi. Tapi aplikasi ini akan menjalankan fungsi tambaMalware-Androidhan yang diberikan pembuat malware, misalnya mengirim sms ke nomor tertentu

 

Teknik update attack merupakan pengembangan dari teknik repackaging. Malware tetap melakukan penambahan fungsi dari aplikasi resmi. Hanya pada teknik ini tidak semua malicious payload ditambahkan pada malware. Malware hanya menambahkan sebuah fungsi yang akan meminta pengguna untuk melakukan update aplikasi. Ketika pengguna melakukan update, maka pengguna akan mengunduh paket dari server yang dibuat oleh pembuat malware. Paket tersebut merupakan fungsi malicious. Teknik ini akan membuat malware sulit untuk dideteksi. Ketika dilakukan analisa tidak ditemukan fungsi malicious, yang ada hanya fungsi untuk update saja

Teknik drive-by-download menggunakan iklan yang dipasang pada website tertentu. Iklan ini akan mengarahkan pengguna untuk mengunduh aplikasi malware. Selain pada website, ditemukan juga iklan malicious pada aplikasi Android. Contohnya pembuat malware menggunakan iklan pada sebuah aplikasi Flappy Bird. Pada iklan tersebut pengguna diiming-imingi tiket gratis liburan ke Bali. Ketika pengguna membuka iklan tersebut, pengguna akan diminta untuk mengunduh aplikasi untuk registrasi liburan ke bali. Ternyata aplikasi registrasi ini telah ditambahkan fungsi malware untuk mengumpulkan kontak nama dan foto-foto pengguna dan mengirimkan ke alamat tertentu.

Semoga bermanfaat!

Stuxnet – malware Fenomenal

Nama Stuxnet mungkin menjadi malware yang paling fenomenal dalam sejarah. Stuxnet bahkan mendapatkan Pwnie Award yang bergengsi dari ajang BlackHat Conference. Membaca cerita tentang malware ini bagaikan kita menonton film Die Hard 4. Pada film tersebut malware digunakan untuk melumpuhkan jaringan listrik kota. Konon  kabarnya Malware ini dibuat dengan biaya yang sangat mahal, dan dibuat oleh team programmer 10 orang selama 6 bulan. Malware ini dibuat untuk menyerang target tertentu yaitu Komputer yang terbuhung dengan sebuah sistem PLC buatan Siemens. Dikatakan menyerang target tertentu, karena malware ini hanya akan aktif bila dia mendeteksi komputer terhubung dengan sistem PLC dari Siemens, sementara bila komputer tidak terhubung dengan sistem PLC Siemens, maka Stuxnet tidak melakukan kerusakan apapun terhadap komputer tersebut.

Malware ini menyerang komputer dengan sistem operasi Windows. Dia hanya menyebar melalui Flashdisk/USB. Hal ini karena ukurannya yang relatif besar. Selain itu sering diberitakan bahwa malware ini dibuat dengan tujuan untuk melakukan sabotase di instalasi Nuklir di Iran. Hal ini didasarkan dari laporan Ralph Langner, seorang ahli sekuriti dari Jerman. Spekulasi menyebutkan bahwa pemerintah Israel dan Amerika yang menjadi dalang dari penyebaran malware ini. Hanya saja itu semua hanya spekulasi, karena tidak pernah ada yang bisa membuktikannya. Yang jelas malware ini merupakan peringatan besar betapa besar kerusakan yang bisa ditimbulkan oleh sebuah malware. Bahkan bukan tidak mungkin tidak lama lagi apa yang kita lihat di filem Die Hard 4 menjadi kenyataan, dimana sebuah malware bisa melumpuhkan lalu lintas, bahkan instalasi listrik.

Laporan hasil analisa Symantec terhadap malware ini dapat dilihat pada link berikut:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

stuxnet
from spectrum ieee

Zeus – Trojan horse

Zeus merupakan malware yang menyerang PC dengan sistem operasi Windows. Zeus termasuk trojan horse. Malware ini  sering digunakan oleh hacker untuk mencuri informasi seperti akun bank, akun email, akun jaringan sosial

Metoda yang digunakan adalah man in the browser keystroke logging dan form grabbing. Zeus juga digunakan untuk melakukan instalasi ransomware Cryptolocker. Penyebarannya umumnya melalui phishing atau drive by download. Malware ini pertama kali diidentifikasi pada tahun 2007 ketika digunakan untuk mencuri informasi dari Departement of Transportation Amerika Serikat.

Pada tahun 2009 diperkirakan malware ini telah menginfeksi sekitar 74000 akun FTP pada perusahaan-perusahaan  ternama seperti Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, dan BusinessWeek. Malware ini menggunakan teknik stealth, sehingga sulit untuk dideteksi oleh antivirus. Sekitar 3,6 juta PC di amerika Serikat terinfeksi oleh malware ini dan membentuk jaringan botnet. Berulangkali malware ini digunakan oleh para hacker untuk kepentingan tertentu. Tahun 2010 FBI berhasil membongkar aksi hacker dari eropa timur yang menggunakan malware ini untuk mencuri akun bank dari user dan digunakan untuk melakukan transaksi online.

Salah satu jaringan botnet yang menggunakan malware ini adalah spyeye. Mcaffe telah melakukan analisa terhadap source code dari Zeus, dan telah melakukan publikasi source code tersebut pada github. Informasi lebih lanjut tentang cara kerja malware ini bisa dibaca pada link berikut ini. 

Laporan symantec tentang malware ini bisa dilihat pada link berikut http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf

Semoga bermanfaat !

zeus
from wikipedia

Cryptolocker – Ransomware

Akhir tahun 2013 muncul malware yang sempat membuat sensasi, yaitu CryptolockerCryptolocker termasuk tipe Ransomware. Jadi kalo komputer kita terkena malware ini, malware akan melakukan enkripsi terhadap data yang ada di komputer kita. Enkripsi yang dilakukan menggunakan algoritma RSA public key Cryptography. Kemudian pembuat malware akan meminta uang tebusan dengan batas waktu tertentu. Kalo kita membayar uang tebusan tersebut baru kita bisa mengakses data kita kembali. Kalo kita tidak membayar, pembuat malware akan mengancam menghapus kunci privat, yang membuat data tersebut tidak bisa diakses. Kunci ini kita butuhkan untuk mengembalikan data (dekripsi).Cryptolocker

Malware ini umumnya menyebar melalui email. Jadi korban akan menerima email seolah-olah dari sebuah perusahaan resmi yang isinya nanti akan meminta kita membuka file attachment. Attachment inilah yang berisi malware, tapi disamarkan dalam format pdf.  Ketika diklik maka malware akan melakukan instalasi dan akan melakukan koneksi ke sebuah server (Command and control server).  Server ini akan mengirim kunci RSA 2048 bit yang akan digunakan untuk melakukan enkripsi data pada komputer korban. Selanjutnya malware akan melakukan enkripsi data-data korban. Umumnya yang dienkripsi adalah dokumen-dokumen microsoft Office, gambar dan file Autocad. Kemudian malware akan menampilkan pesan bahwa komputer telah dienkripsi sehingga tidak bisa dibuka. Korban diminta mengirim uang tebusan untuk bisa membuka data tersebut. Pembayaran yang diminta sekitar $ 300 atau 300 € dan dikirimkan melalui Moneypark atau Ukash. Ada juga yang meminta tebusan melalui bitcoin. Umumnya korban diberi waktu 72 sampai 100 jam untuk membayar uang tebusan. Setelah tebusan dibayar maka korban akan diminta mengunduh aplikasi dekriptor yang sudah berisi kunci untuk membuka file.

Malware ini ditemukan oleh peneliti keamanan dari ESET. Antivirus umumnya sudah bisa mendeteksi malware ini. Tapi bila kita terkena, proses dekripsinya masih susah untuk dilakukan. Karena harus melakukan brute-force attack, yang memerlukan waktu yang cukup panjang. Sangat disarankan untuk berhati-hati dalam membuka email attachment yang tidak jelas. Penjelasan lengkapnya bisa dilihat di link berikut :

http://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom/

http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

AMOS – Android Malware Operating System

Untuk teman-teman yang lagi belajar tentang malware di Android, tentunya teman-teman harus punya tools yang pas. Ada banyak aplikasi yang diperlukan, mulai dari reverse engineering, android emulator, sampe aplikasi untuk melakukan behavioral analysis.  Biasanya aplikasi-aplikasi tersebut terpisah, sehingga kita harus mengunduh satu persatu.

ID-SIRTII/CC sudah menyiapkan OS (Operating System) yang berisi aplikasi yang lengkap untuk melakukan analisa malware android. Di OS ini sudah lengkap bermacam aplikasi yang diperlukan. Jadi kita tidak perlu menginstall aplikasi tersebut satu persatu. OS ini dinamakan AMOS (Android Malware Operating System). OS ini berbasis ubuntu. Di dalamnya terdapat beberapa aplikasi berikut :

1. Androguard : aplikasi ini digunakan untuk melakukan reverse engineering. Androguard berbasis phyton.

2. Android SDK : aplikasi ini sebenarnya digunakan untuk membuat aplikasi android. Tapi dalam proses analisa malware kita perlu juga aplikasi ini.

3. APK Analyser : aplikasi ini kita gunakan dalam melakukan analisa statis.

4. APK Inspector : aplikasi ini juga untuk melakukan reverse engineering. Ada video yang menceritakan tentang fitur APK inspector bisa dilihat di link berikut http://www.youtube.com/watch?v=X538N-x3UUY

5. Android-apktool : Untuk melakukan analisa file apk

6. Smali/Baksmali : aplikasi dissasembler untuk format file dex

7. Dex2jar : aplikasi untuk konversi file dex menjadi file jar (java)

8. Droidbox : aplikasi ini digunakan untuk melakukan analisa dinamis malware

9. IDA (demo) : IDA pro merupakan aplikasi standar yang digunakan untuk reverse engineering.

10.JD-GUI : aplikasi untuk melakukan decompile java file

11. Android Emulator : Kalo yang ini kita gunakan untuk mengemulasi handphone Android. Jadi nanti kita menjalankan malware pada emulator, dan melihat aktifitas apa saja yang dilakukan. Seperti Virtual machine. Emulator ini membutuhkan RAM besar.

Presentasi tentang AMOS bisa dilihat di web ID-SIRTII pada link berikut ini . Selain AMOS ada juga OS lain yang dapat kita gunakan untuk melakukan analisa malware, diantaranya Santoku Linux dan ada juga REMnux . Kalo ada yang membutuhkan AMOS, bisa kontak ID-SIRTII/CC .

Facebook Scam

Minggu lalu teman dari ID-CERT cerita ke saya bahwa sekarang sedang marak beredar di Facebook script yang konon kabarnya bisa digunakan untuk nge-hack password sebuah account Facebook teman kita. Saya diminta untuk melakukan analisa betul gak script itu bisa digunakan untuk ngehack password account Facebook teman kita.

Contoh scriptnya adalah seperti dibawah ini :

var fb_dtsg = document.getElementsByName(‘fb_dtsg’)[0].value;var user_id = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]); dst

Scriptnya panjang, script lengkapnya saya dapat dari link ini http://pastie.org/pastes/8744632/text

Kemudian script ini dimasukkan ke console, instruksinya bisa dilihat di link FB berikut ini : https://www.facebook.com/byghostbusterteam . Berikut hasil analisa saya terhadap script diatas :

1. Script ini akan bikin comment atas nama kita dan ngetag semua teman kita dan nyebarin pesan (Horeee teman2 Aku berhasil Asyiikkk …Coba aja kalo gak Percaya… dan nyebarin link dst)
2. Script ini akan nge-like foto juga dan ngetag semua teman kita.
3. Script ini akan ngeadd semua teman kita ke sebuah page.

4. Tidak ditemukan ada fungsi untuk membobol password teman.

Kesimpulannya menurut saya script ini termasuk tipe scam dan tidak ditemukan adanya fungsi yang bisa membobol password teman. Kalau nanti teman-teman dapat pesan atau comment yang menjanjikan cara untuk ngehack akun facebook teman kita, ini sudah jelas facebook scam, sebaiknya abaikan saja. Semoga bermanfaat facebook-account-hacking-scam

Drill Test

Untuk menangani insiden keamanan jaringan, tentunya tentunya tidak mudah. Diperlukan pengetahuan teknis security yang baik seperti traffic analysis, digital forensic, malware analysis dll. Selain itu juga dibutuhkan kemampuan non-teknis, seperti pemahaman prosedur penanganan insiden, kemampuan koordinasi dengan institusi lain seperti CERT (Computer Emergency Response Team), serta kemampuan pengambilan keputusan. Bila tidak ditangani dengan baik, bisa jadi insiden keamanan akan menimbulkan kerugian yang besar. Kemampuan penanganan insiden ini harus dilatih dengan baik agar ketika menghadapi insiden yang sesungguhnya admin tidak gagap, dan dapat mengambil langkah penanganan yang tepat. Untuk itulah biasanya diadakan Drill-Test. Drill test merupakan sebuah latihan untuk menangani insiden keamanan jaringan. Biasanya drill test dibuat dengan skenario yang menyerupai kondisi sebenarnya.

Tanggal 19 Februari 2014 APCERT (Asia Pasific Computer Emergency Response Team) mengadakan Drill Test. Pesertanya ada 20 team dari institusi CERT dari 16 negara asia pasific, antara lain dari Australia (AusCERT), Jepang (JP-Cert) Korean, Thailand, Indonesia, bahkan ada juga dari German. Skenarionya kali ini ada organisasi cyber (hacktivist) yang berusaha menyerang layanan pemerintah sebagai protes dari sebuah kebijakan pemerintah. Nah ada 4 tahap serangan yang dilakukan organisasi ini. Salah satunya skenario penyerangan yang dilakukan adalah organisasi ini membuat aplikasi pada android yang disusupkan dengan malware. Aplikasi ini kemudian disebarkan pada andoid market sehingga siapa saja bisa mengunduhnya. Aplikasi gadungan ini akan melakukan DDos attack pada website pemerintah, tanpa disadari oleh pengguna.

APCERT mempercayakan pembuatan malware android ini pada ID-CERT (Indonesia Computer Emergency Response Team). Nah saya diajak temen-temen ID-CERT untuk ikut merancang dan membuat malware ini. Alhamdulillah tim kami berhasil menyelesaikan pembuatan malware ini tepat waktu. Press Release ID-Cert tentang drill ini bisa dilihat disini. Pengalaman yang sangat menarik walaupun cukup menguras pikiran dan tenaga. Tapi bangga rasanya bisa membuktikan karya bangsa kita bisa diterima dan digunakan dalam event internasional. Semoga bisa menjadi inspirasi teman-teman untuk terus berkarya.