Financial Fraud Mobile Malware


Pada tulisan sebelumnya saya telah share presentasi Kr-CERT (Korea) tentang malware mobile di bidang perbankan (financial fraud mobile malware) . Karena presentasinya lumayan panjang, maka saya lanjutkan share presentasi Kr-CERT pada tulisan ini. Tim Kr-CERT pada  kasus lainnya menemukan juga penyerang mengirimkan SMS Phishing yang meminta user membuka sebuah alamat web tertentu. Pada web tersebut korban diminta memasukan informasi seperti nomer kartu kredit,valid expiration date, CVC, password, dan Certificate(NPKI) password.

Selain itu ditemukan juga metode penyebaran malware melalui router. Penyerang memanfaatkan celah keamanan pada router untuk merubah konfigurasi DNS. Ketika korban mengakses internet dari PC maka router akan menampilkan halaman pharming menggunakan ActiveX. Sementara bila korban mengakses dari perangkat mobile, router akan mengarahkan korban untuk mengunduh sebuah aplikasi palsu yang mengandung malware.

Perbandingan PC malware dan Mobile Malware

Kr-CERT juga membuat perbandingan kesamaan dan perbedaan malware perbankan yang dibuat untuk PC dengan perangkat mobile:

Kesamaan:

  • sama-sama menggunakan web server yang telah diretas
  • Memanfaatkan celah keamanan pada router

Perbedaan:

  • Mobile: menggunakan teknik SMS Phishing, menggunakan App store alternatif
  • PC: menggunakan website (komunitas dan shopping)

Sementara itu dari sisi karakteristik malware ditemukan juga kesamaan dan perbedaan antara malware perbankankan pada mobile dan pada PC sebagai berikut:

Kesamaan:

  • mencuri informasi keuangan seperti (nama, nomer social security, nomer security card)
  • Men-zip file certificate untuk online banking
  • mencoba untuk menghapus program vaccine (antivirus)

Perbedaan

  • Mobile: Memiliki fitur instalasi aplikasi perbankan palsu
  • PC: melakukan DNS Spoofing, dan mematikan Firewall dari sistem operasi

Untuk teknik pengelabuan yang digunakan, ditemukan persamaan dan perbedaan malware untuk mobile dan PC sebagai berikut:

Kesamaan:

  • Menggunakan program packer comercial seperti: Themida, Tencent, Qihoo360
  • Menggunakan teknik anti-debugging seperti: Mendeteksi virtual mesin/emulator, mendeteksi adanya tools debugging

Perbedaan:

  • Mobile: mencari keberadaan aplikasi perbankan
  • PC: Memeriksa Mutex

Sementara mengenai metode update alamat IP C2 (command & Control server) dari luar dilaporkan adanya persamaan dan perbedaan malware pada mobile dan PC sebagai berikut:

Kesamaan:

  • Menggunakan blog untuk mendapatkan alamat IP C2. Blog tercatat pada domain berikut: QQ, Taobao, Baidu dan Daum
  • Alamat IP C2 terdaftar di Cina dan Taiwan

Perbedaan:

  • mobile: menggunakan SMS Parsing untuk mencari separator keyword/order; dan mendapatkan alamat IP C2 baru.

Pencegahan & Penanganan

Tim dari Kr-CERT menyarankan beberapa tindakan berikut untuk melakukan pencegahan dan penanganan insiden:

Untuk menangani Smishing:

  • Mendeteksi alamat URL yang disebarkan melalu SMS Spam
  • Melakukan blok koneksi dari alamat URL dan alamat IP C2

Penanganan Web yang diretas:

  • Menemukan pola penyerangan pada website yang diretas,
  • menemukan malware pada website yang diretas

Penanganan Malicious apps di market store

  • Melakukan monitoring pada aplikasi yang baru terdaftar
  • Mendeteksi adanya malware pada aplikasi baru menggunakan detection patterns

Perangkat korban:

  • Mencari zombie smartphones yang tidak terdeteksi oleh antivirus
  • Memberitahu pengguna bahwa perangkatnya terinfeksi dan memberitahu cara untuk membersihkannya.
  • Menyarankan agar tidak melakukan instalasi dari sumber yang tidak jelas.

Berdasarkan hasil analisa, KrCERT melaporkan bahwa malware Pharming dan malware Financial Fraud untuk mobile kemungkinan dibuat oleh kelompok yang sama. Ada kecenderungan jumlah malware Financial Fraud. Selain itu ditemukan juga kendala dimana, penyerang selalu mengganti-ganti alamat IP server C2 dan adanya penggunaan tools comercial packer.

Semoga Bermanfaat!

 

 

 

 


Silahkan tuliskan tanggapan, kritik maupun saran