Operasi kejahatan dunia maya baru yang disebut ‘SecuriDropper’ telah muncul, yang menggunakan metode untuk melewati fitur ‘Pengaturan Terbatas’ di Android untuk menginstal malware pada perangkat dan mendapatkan akses ke Layanan Aksesibilitas. Pengaturan Terbatas adalah fitur keamanan yang diperkenalkan dengan Android 13 yang mencegah aplikasi side-loaded (file APK) yang diinstal dari luar Google Play untuk mengakses fitur canggih seperti pengaturan Aksesibilitas dan Pendengar Notifikasi. Kedua izin ini biasanya disalahgunakan oleh malware, sehingga fitur tersebut dimaksudkan untuk melindungi pengguna dengan memblokir persetujuan permintaan dengan menampilkan peringatan ketika izin tersebut diminta.
Aksesibilitas dapat disalahgunakan untuk menangkap teks di layar, memberikan izin tambahan, dan melakukan tindakan navigasi dari jarak jauh, sedangkan Pendengar Notifikasi dapat digunakan untuk mencuri kata sandi satu kali. Pada bulan Agustus 2022, ThreatFabric melaporkan bahwa pengembang malware telah menyesuaikan taktik mereka dengan tindakan baru ini melalui dropper baru bernama ‘BugDrop’. Berdasarkan pengamatannya, perusahaan tersebut menciptakan dropper proof-of-concept (PoC) untuk menunjukkan bahwa bypass tersebut mungkin dilakukan.
Trik yang digunakan oleh SecuriDropper adalah dengan menggunakan API instalasi berbasis sesi untuk file APK berbahaya, yang menginstalnya dalam beberapa langkah, yang melibatkan paket “dasar” dan berbagai file data “terpisah”. Ketika API tertentu digunakan sebagai pengganti metode non-sesi, Pengaturan Terbatas akan dilewati, dan pengguna tidak diperlihatkan dialog ‘Pengaturan terbatas’ yang mencegah mereka memberikan malware akses ke izin berbahaya. BleepingComputer telah mengonfirmasi bahwa masalah keamanan masih ada di Android 14, dan menurut laporan ThreatFabric baru, SecuriDropper mengikuti teknik yang sama untuk melakukan side-load malware pada perangkat target dan memberi mereka akses ke sub-sistem yang berisiko.
Dropper adalah kategori malware tertentu yang tujuan utamanya adalah memasang muatan pada perangkat yang terinfeksi. Penggunaan dropper memungkinkan pelaku untuk memisahkan pengembangan dan pelaksanaan serangan dari instalasi malware. Platform Dropper-as-a-Service (DaaS) telah muncul sebagai alat yang ampuh, memungkinkan pelanggan membayar agar malware mereka didistribusikan ke target melalui dropper. DaaS biasanya menggunakan jaringan situs web untuk mengirimkan dropper ke perangkat korban yang, ketika dijalankan, menginstal dan mengeksekusi malware pelanggan. Dropper tersebut dapat disamarkan sebagai aplikasi sah atau retak yang membuat netizen tertipu untuk menjalankannya.
Ini adalah kasus pertama yang menggunakan metode ini dalam operasi kejahatan dunia maya yang menargetkan pengguna Android. Penggunaan dropper dan aktor-aktor di baliknya terus mengalami evolusi seiring upaya mereka untuk mengecoh langkah-langkah keamanan yang terus berkembang. Ketika Android terus meningkatkan standarnya di setiap iterasi, penjahat dunia maya beradaptasi dan berinovasi.
Android Dropper-as-a-Service operations
SecuriDropper adalah operasi kejahatan dunia maya dropper-as-a-service (DaaS) baru yang menginfeksi perangkat Android dengan menyamar sebagai aplikasi yang sah, paling sering meniru aplikasi Google, pembaruan Android, pemutar video, aplikasi keamanan, atau game, dan kemudian menginstal a muatan kedua, yang merupakan suatu bentuk malware. Dropper mencapai hal ini dengan mengamankan akses ke izin “Baca & Tulis Penyimpanan Eksternal” dan “Instal & Hapus Paket” setelah instalasi. Payload tahap kedua diinstal melalui penipuan pengguna dan manipulasi antarmuka, mendorong pengguna untuk mengklik tombol “Instal Ulang” setelah menampilkan pesan kesalahan palsu tentang instalasi aplikasi dropper.
SecuriDropper dirancang untuk melewati batasan keamanan baru yang diberlakukan oleh Google dan mengirimkan malware. Dropper bertanggung jawab untuk memasang muatan sekunder, biasanya malware (spyware atau Trojan perbankan), ke perangkat korban. Dropper sering kali menyamar sebagai aplikasi yang tampaknya tidak berbahaya, dan beberapa contoh yang diamati di alam liar adalah com.appd.instll.load (Google) dan com.appd.instll.load (Google Chrome). Yang membuat SecuriDropper menonjol adalah penerapan teknis prosedur instalasinya. Dropper menggunakan API instalasi berbasis sesi untuk file APK berbahaya, yang menginstalnya dalam beberapa langkah, yang melibatkan paket “dasar” dan berbagai file data “terpisah”. Ketika API tertentu digunakan sebagai pengganti metode non-sesi, Pengaturan Terbatas akan dilewati, dan pengguna tidak diperlihatkan dialog ‘Pengaturan terbatas’ yang mencegah mereka memberikan malware akses ke izin berbahaya.
Dropper adalah kategori malware tertentu yang tujuan utamanya adalah memasang muatan pada perangkat yang terinfeksi[4]. Penggunaan dropper memungkinkan pelaku untuk memisahkan pengembangan dan pelaksanaan serangan dari instalasi malware. Platform Dropper-as-a-Service (DaaS) telah muncul sebagai alat yang ampuh, memungkinkan pelanggan membayar agar malware mereka didistribusikan ke target melalui dropper. Dropper tersebut dapat disamarkan sebagai aplikasi sah atau retak yang membuat netizen tertipu untuk menjalankannya.
SecuriDropper adalah kasus pertama yang mengamati penggunaan metode ini dalam operasi kejahatan dunia maya yang menargetkan pengguna Android. Ketika Android terus meningkatkan standarnya di setiap iterasi, penjahat dunia maya beradaptasi dan berinovasi. Dropper dan aktor-aktor di baliknya terus-menerus berevolusi seiring upaya mereka untuk mengecoh langkah-langkah keamanan yang terus berkembang.
SecuriDropper adalah operasi kejahatan dunia maya dropper-as-a-service (DaaS) yang memasang malware di perangkat Android dengan melewati fitur “Pengaturan Terbatas”. Dropper mencapai hal ini dengan mengamankan akses ke izin “Baca & Tulis Penyimpanan Eksternal” dan “Instal & Hapus Paket” setelah instalasi. Payload tahap kedua diinstal melalui penipuan pengguna dan manipulasi antarmuka, mendorong pengguna untuk mengklik tombol “Instal Ulang” setelah menampilkan pesan kesalahan palsu tentang instalasi aplikasi dropper.
ThreatFabric telah melihat malware SpyNote didistribusikan melalui SecuriDropper yang menyamar sebagai aplikasi Google Terjemahan. Dalam kasus lain, SecuriDropper terlihat mendistribusikan trojan Ermac perbankan yang menyamar sebagai browser Chrome, menargetkan ratusan aplikasi cryptocurrency dan e-banking.
ThreatFabric juga melaporkan kemunculan kembali Zombinder, operasi DaaS yang pertama kali didokumentasikan pada Desember 2022. Layanan ini “merekatkan” muatan berbahaya dengan aplikasi sah untuk menginfeksi perangkat Android dengan pencuri informasi dan trojan perbankan. Iklan terbaru Zombinder menyoroti strategi bypass Pengaturan Terbatas yang sama yang telah dibahas sebelumnya, sehingga payload diberikan izin untuk menggunakan pengaturan Aksesibilitas pada saat instalasi.
masalah[1]. Selain itu, pengguna dapat meninjau dan mencabut akses izin untuk aplikasi apa pun yang diinstal dengan mengikuti langkah-langkah berikut:
- Buka aplikasi Pengaturan di perangkat Android Anda.
- Ketuk menu “Aplikasi” atau “Aplikasi dan Notifikasi”.
- Tinjau daftar aplikasi yang muncul untuk aplikasi yang ingin Anda periksa.
- Ketuk “Semua Aplikasi” atau “Lihat Semua” di bagian atas jika aplikasi Anda tidak tercantum.
- Ketuk “Izin”.
Dengan meninjau izin aplikasi, pengguna dapat melihat data apa yang digunakan aplikasi dan alasan aplikasi mengakses data tersebut. Hal ini dapat membantu pengguna mengontrol data yang mereka bagikan dengan aplikasi dan meminimalkan jumlah data yang diakses aplikasi. Penting untuk diperhatikan bahwa izin dapat diberikan atau dicabut pada waktu proses, jadi penting untuk menguji aplikasi Anda dalam berbagai skenario izin untuk memastikan aplikasi berfungsi dengan benar.
Singkatnya, untuk melindungi dari serangan, pengguna Android harus menghindari mengunduh file APK dari sumber yang tidak dikenal atau tidak tepercaya dan meninjau izin aplikasi untuk mengontrol data yang mereka bagikan dengan aplikasi. Untuk meninjau izin aplikasi, pengguna dapat mengikuti langkah-langkah yang diuraikan di atas.
Sumber:
https://www.bleepingcomputer.com/news/security/cybercrime-service-bypasses-android-security-to-install-malware/
https://thehackernews.com/2023/11/securidropper-new-android-dropper-as.html?m=1
https://www.theregister.com/2021/09/02/malware_droppers_sophos/
https://www.threatfabric.com/blogs/droppers-bypassing-android-13-restrictions
https://malwaretips.com/threads/cybercrime-service-bypasses-android-security-to-install-malware.126971/
https://www.paubox.com/blog/what-is-dropper-as-a-service
https://www.androidcentral.com/how-review-app-permissions-your-android-phone
https://www.privateinternetaccess.com/blog/how-to-review-permissions-given-to-your-mobile-apps/
https://support.google.com/googleplay/answer/9431959?hl=en
https://developer.android.com/training/permissions/usage-notes
https://www.reddit.com/r/GooglePixel/comments/zzw4dv/getting_the_same_notification_daily_to_review_the/
https://developer.android.com/guide/topics/permissions/overview
https://isp.page/news/securidropper-new-android-dropper-as-a-service-bypasses-googles-defenses/
https://www.tomsguide.com/news/new-android-malware-dropper-sneaks-past-google-protect-yourself-now
