Penyebaran malware Android

Ada berbagai macam cara penyebaran malware Android.Diantaranya ada yang dikenal dengan teknik repackaging, update attack dan drive-by-download.

Repackaging adalah teknik membungkus ulang sebuah aplikasi Android. Teknik ini merupakan teknik yang banyak ditemukan pada malware Android. Teknik yang digunakan adalah pembuat malware mengunduh sebuah aplikasi Android, kemudian membungkus atau menambah fungsi jahat (malicious payload) pada aplikasi tersebut. Aplikasi yang sudah ditambahkan malware ini kemudian disebarkan dengan mengunggah aplikasi tersebut pada Android Market resmi maupun Android Market alternatif. Contohnya pembuat malware mengunduh aplikasi Angry Bird dari Google Play. Kemudian menambahkan malicious payload dan menyebarkannya pada market alternatif. Ketika pengguna mengunduh dan menjalankan aplikasi Angry Bird ini, aplikasi akan berjalan seperti Angry Bird versi resmi. Tapi aplikasi ini akan menjalankan fungsi tambaMalware-Androidhan yang diberikan pembuat malware, misalnya mengirim sms ke nomor tertentu

 

Teknik update attack merupakan pengembangan dari teknik repackaging. Malware tetap melakukan penambahan fungsi dari aplikasi resmi. Hanya pada teknik ini tidak semua malicious payload ditambahkan pada malware. Malware hanya menambahkan sebuah fungsi yang akan meminta pengguna untuk melakukan update aplikasi. Ketika pengguna melakukan update, maka pengguna akan mengunduh paket dari server yang dibuat oleh pembuat malware. Paket tersebut merupakan fungsi malicious. Teknik ini akan membuat malware sulit untuk dideteksi. Ketika dilakukan analisa tidak ditemukan fungsi malicious, yang ada hanya fungsi untuk update saja

Teknik drive-by-download menggunakan iklan yang dipasang pada website tertentu. Iklan ini akan mengarahkan pengguna untuk mengunduh aplikasi malware. Selain pada website, ditemukan juga iklan malicious pada aplikasi Android. Contohnya pembuat malware menggunakan iklan pada sebuah aplikasi Flappy Bird. Pada iklan tersebut pengguna diiming-imingi tiket gratis liburan ke Bali. Ketika pengguna membuka iklan tersebut, pengguna akan diminta untuk mengunduh aplikasi untuk registrasi liburan ke bali. Ternyata aplikasi registrasi ini telah ditambahkan fungsi malware untuk mengumpulkan kontak nama dan foto-foto pengguna dan mengirimkan ke alamat tertentu.

Semoga bermanfaat!

Stuxnet – malware Fenomenal

Nama Stuxnet mungkin menjadi malware yang paling fenomenal dalam sejarah. Stuxnet bahkan mendapatkan Pwnie Award yang bergengsi dari ajang BlackHat Conference. Membaca cerita tentang malware ini bagaikan kita menonton film Die Hard 4. Pada film tersebut malware digunakan untuk melumpuhkan jaringan listrik kota. Konon  kabarnya Malware ini dibuat dengan biaya yang sangat mahal, dan dibuat oleh team programmer 10 orang selama 6 bulan. Malware ini dibuat untuk menyerang target tertentu yaitu Komputer yang terbuhung dengan sebuah sistem PLC buatan Siemens. Dikatakan menyerang target tertentu, karena malware ini hanya akan aktif bila dia mendeteksi komputer terhubung dengan sistem PLC dari Siemens, sementara bila komputer tidak terhubung dengan sistem PLC Siemens, maka Stuxnet tidak melakukan kerusakan apapun terhadap komputer tersebut.

Malware ini menyerang komputer dengan sistem operasi Windows. Dia hanya menyebar melalui Flashdisk/USB. Hal ini karena ukurannya yang relatif besar. Selain itu sering diberitakan bahwa malware ini dibuat dengan tujuan untuk melakukan sabotase di instalasi Nuklir di Iran. Hal ini didasarkan dari laporan Ralph Langner, seorang ahli sekuriti dari Jerman. Spekulasi menyebutkan bahwa pemerintah Israel dan Amerika yang menjadi dalang dari penyebaran malware ini. Hanya saja itu semua hanya spekulasi, karena tidak pernah ada yang bisa membuktikannya. Yang jelas malware ini merupakan peringatan besar betapa besar kerusakan yang bisa ditimbulkan oleh sebuah malware. Bahkan bukan tidak mungkin tidak lama lagi apa yang kita lihat di filem Die Hard 4 menjadi kenyataan, dimana sebuah malware bisa melumpuhkan lalu lintas, bahkan instalasi listrik.

Laporan hasil analisa Symantec terhadap malware ini dapat dilihat pada link berikut:

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

stuxnet
from spectrum ieee

Zeus – Trojan horse

Zeus merupakan malware yang menyerang PC dengan sistem operasi Windows. Zeus termasuk trojan horse. Malware ini  sering digunakan oleh hacker untuk mencuri informasi seperti akun bank, akun email, akun jaringan sosial

Metoda yang digunakan adalah man in the browser keystroke logging dan form grabbing. Zeus juga digunakan untuk melakukan instalasi ransomware Cryptolocker. Penyebarannya umumnya melalui phishing atau drive by download. Malware ini pertama kali diidentifikasi pada tahun 2007 ketika digunakan untuk mencuri informasi dari Departement of Transportation Amerika Serikat.

Pada tahun 2009 diperkirakan malware ini telah menginfeksi sekitar 74000 akun FTP pada perusahaan-perusahaan  ternama seperti Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, dan BusinessWeek. Malware ini menggunakan teknik stealth, sehingga sulit untuk dideteksi oleh antivirus. Sekitar 3,6 juta PC di amerika Serikat terinfeksi oleh malware ini dan membentuk jaringan botnet. Berulangkali malware ini digunakan oleh para hacker untuk kepentingan tertentu. Tahun 2010 FBI berhasil membongkar aksi hacker dari eropa timur yang menggunakan malware ini untuk mencuri akun bank dari user dan digunakan untuk melakukan transaksi online.

Salah satu jaringan botnet yang menggunakan malware ini adalah spyeye. Mcaffe telah melakukan analisa terhadap source code dari Zeus, dan telah melakukan publikasi source code tersebut pada github. Informasi lebih lanjut tentang cara kerja malware ini bisa dibaca pada link berikut ini. 

Laporan symantec tentang malware ini bisa dilihat pada link berikut http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf

Semoga bermanfaat !

zeus
from wikipedia

Tugas Scanning Virus

Untuk mahasiswa kelas Sistem Operasi, hari ini kita akan ikut serta dalam Survey Malware yang diadakan oleh ID-CERT. Jadi kalian diminta menginstall anti virus kemudian melakukan scanning virus di komputer kalian. Hasil scanningnya harap dikirimkan ke email ID-CERT. Nanti hasil scanning ini akan dikumpulkan dengan hasil scanning virus para relawan dari seluruh indonesia. Tujuan survey ini untuk mengetahui penyebaran virus di Indonesia.  Prosedurnya sebagai berikut :

scanning virus

  1. Kirim email ke daftar@malware.cert.or.id dengan keterangan nama lengkap, kota tinggal dan email anda
  2. Download aplikasi yang digunakan untuk scan malware, di http://is.gd/idcert atau

https://www.dropbox.com/sh/n8gwludssk95odx/TrkFpnf49f lalu pilih download as .zip (agar mudah dapat didownload dalam format .zip)

  1. Setelah selesai didownload, lalu ekstrak file Emsisoft Emergency Kit.zip
  • Jalankan start.exe yang terdapat pada folder Emsisoft Emergency Kit

  • Pilih Emergency Kit Scanner -> Scan PC

  • Pilih metode scan sesuai kebutuhan (Quick Scan, Smart Scan, Deep Scan, Custom Scan)

  • Tekan tombol ‘Scan’

  • Tunggu sampai scan selesai

  • Tekan tombol ‘View Report’ dan folder log akan terbuka

  • Kirimkan melalui email file log tersebut ke lapor@malware.cert.or.id

  • (file report tersimpan pada folder /Run/Report/…..)

    Scanning dilakukan hanya pada komputer dengan OS Windows. Bila ada pertanyaan bisa hubungi email berikut support@malware.cert.or.id atau ahmad@cert.or.id via email

    ID-CERT atau Indonesia Computer Emergency Response Team merupakan tim CERT yang berdiri pada 1998, didirikan oleh Dr. Budi Rahardjo. ID-CERT merupakan tim koordinasi teknis berbasis komunitas dan untuk komunitas yang bersifat independen(info lebih lengkap terkait ID-CERT dapat dilihat di www.cert.or.id). Pada tahun 2014 ini ID-CERT sedang melakukan riset terkait statistika penyebaran malware di Indonesia. Untuk mendukung kegiatan riset tersebut, ID-CERT membentuk ID-CERT volunteer yang terdiri dari berbagai kalangan seperti mahasiswa, peneliti, pemerintah dan masyarakat pemerhati keamanan informasi. Jika anda tertarik berperan serta dalam riset ini sebagai volunteer

    Survey Malware

    Untuk mahasiswa kelas TK3193 keamanan jaringan, hari ini kita akan ikut serta dalam Survey Malware yang diadakan oleh ID-CERT. Jadi nanti kalian akan diminta menginstall anti virus kemudian melakukan scanning virus di komputer kalian. Hasil scanningnya harap dikirimkan ke email ID-CERT. Nanti hasil scanning ini akan dikumpulkan dengan hasil scanning virus para relawan dari seluruh indonesia. Tujuan survey ini untuk mengetahui penyebaran virus di Indonesia.  Prosedurnya sebagai berikut :

    survey malware
    id cert

    Pendaftaran:

    1. Kirim email ke daftar@malware.cert.or.id dengan keterangan nama lengkap, kota tinggal dan email anda

    2. Tunggu konfirmasi dari admin@malware.cert.or.id atau support@malware.cert.or.id untuk verifikasi akun anda

    Download tool untuk scan malware:

    1. Download aplikasi yang digunakan untuk scan malware, di http://is.gd/idcert atau

    https://www.dropbox.com/sh/n8gwludssk95odx/TrkFpnf49f lalu pilih download as .zip (agar mudah dapat didownload dalam format .zip)

    2. Setelah selesai didownload, lalu eksrak file Emsisoft Emergency Kit.zip

    Pelaporan:

    1. Jalankan start.exe yang terdapat pada folder Emsisoft Emergency Kit

    2. Pilih Emergency Kit Scanner -> Scan PC

    3. Pilih metode scan sesuai kebutuhan (Quick Scan, Smart Scan, Deep Scan, Custom Scan)

    4. Tekan tombol ‘Scan’

    5. Tunggu sampai scan selesai

    6. Tekan tombol ‘View Report’ dan folder log akan terbuka

    7. Kirimkan melalui email file log tersebut ke lapor@malware.cert.or.id

    (file report tersimpan pada folder /Run/Report/…..)

    Scanning dilakukan hanya pada komputer dengan OS Windows. Bila ada pertanyaan bisa hubungi email berikut support@malware.cert.or.id atau ahmad@cert.or.id via email

    ID-CERT atau Indonesia Computer Emergency Response Team merupakan tim CERT yang berdiri pada 1998, didirikan oleh Dr. Budi Rahardjo. ID-CERT merupakan tim koordinasi teknis berbasis komunitas dan untuk komunitas yang bersifat independen(info lebih lengkap terkait ID-CERT dapat dilihat di www.cert.or.id). Pada tahun 2014 ini ID-CERT sedang melakukan riset terkait statistika penyebaran malware di Indonesia. Untuk mendukung kegiatan riset tersebut, ID-CERT membentuk ID-CERT volunteer yang terdiri dari berbagai kalangan seperti mahasiswa, peneliti, pemerintah dan masyarakat pemerhati keamanan informasi. Jika anda tertarik berperan serta dalam riset ini sebagai volunteer

    Cryptolocker – Ransomware

    Akhir tahun 2013 muncul malware yang sempat membuat sensasi, yaitu CryptolockerCryptolocker termasuk tipe Ransomware. Jadi kalo komputer kita terkena malware ini, malware akan melakukan enkripsi terhadap data yang ada di komputer kita. Enkripsi yang dilakukan menggunakan algoritma RSA public key Cryptography. Kemudian pembuat malware akan meminta uang tebusan dengan batas waktu tertentu. Kalo kita membayar uang tebusan tersebut baru kita bisa mengakses data kita kembali. Kalo kita tidak membayar, pembuat malware akan mengancam menghapus kunci privat, yang membuat data tersebut tidak bisa diakses. Kunci ini kita butuhkan untuk mengembalikan data (dekripsi).Cryptolocker

    Malware ini umumnya menyebar melalui email. Jadi korban akan menerima email seolah-olah dari sebuah perusahaan resmi yang isinya nanti akan meminta kita membuka file attachment. Attachment inilah yang berisi malware, tapi disamarkan dalam format pdf.  Ketika diklik maka malware akan melakukan instalasi dan akan melakukan koneksi ke sebuah server (Command and control server).  Server ini akan mengirim kunci RSA 2048 bit yang akan digunakan untuk melakukan enkripsi data pada komputer korban. Selanjutnya malware akan melakukan enkripsi data-data korban. Umumnya yang dienkripsi adalah dokumen-dokumen microsoft Office, gambar dan file Autocad. Kemudian malware akan menampilkan pesan bahwa komputer telah dienkripsi sehingga tidak bisa dibuka. Korban diminta mengirim uang tebusan untuk bisa membuka data tersebut. Pembayaran yang diminta sekitar $ 300 atau 300 € dan dikirimkan melalui Moneypark atau Ukash. Ada juga yang meminta tebusan melalui bitcoin. Umumnya korban diberi waktu 72 sampai 100 jam untuk membayar uang tebusan. Setelah tebusan dibayar maka korban akan diminta mengunduh aplikasi dekriptor yang sudah berisi kunci untuk membuka file.

    Malware ini ditemukan oleh peneliti keamanan dari ESET. Antivirus umumnya sudah bisa mendeteksi malware ini. Tapi bila kita terkena, proses dekripsinya masih susah untuk dilakukan. Karena harus melakukan brute-force attack, yang memerlukan waktu yang cukup panjang. Sangat disarankan untuk berhati-hati dalam membuka email attachment yang tidak jelas. Penjelasan lengkapnya bisa dilihat di link berikut :

    http://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom/

    http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

    Facebook Scam

    Minggu lalu teman dari ID-CERT cerita ke saya bahwa sekarang sedang marak beredar di Facebook script yang konon kabarnya bisa digunakan untuk nge-hack password sebuah account Facebook teman kita. Saya diminta untuk melakukan analisa betul gak script itu bisa digunakan untuk ngehack password account Facebook teman kita.

    Contoh scriptnya adalah seperti dibawah ini :

    var fb_dtsg = document.getElementsByName(‘fb_dtsg’)[0].value;var user_id = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]); dst

    Scriptnya panjang, script lengkapnya saya dapat dari link ini http://pastie.org/pastes/8744632/text

    Kemudian script ini dimasukkan ke console, instruksinya bisa dilihat di link FB berikut ini : https://www.facebook.com/byghostbusterteam . Berikut hasil analisa saya terhadap script diatas :

    1. Script ini akan bikin comment atas nama kita dan ngetag semua teman kita dan nyebarin pesan (Horeee teman2 Aku berhasil Asyiikkk …Coba aja kalo gak Percaya… dan nyebarin link dst)
    2. Script ini akan nge-like foto juga dan ngetag semua teman kita.
    3. Script ini akan ngeadd semua teman kita ke sebuah page.

    4. Tidak ditemukan ada fungsi untuk membobol password teman.

    Kesimpulannya menurut saya script ini termasuk tipe scam dan tidak ditemukan adanya fungsi yang bisa membobol password teman. Kalau nanti teman-teman dapat pesan atau comment yang menjanjikan cara untuk ngehack akun facebook teman kita, ini sudah jelas facebook scam, sebaiknya abaikan saja. Semoga bermanfaat facebook-account-hacking-scam