Seminggu setelah mengungkapkan bagaimana malware Android menggunakan atribut "target_sdk" untuk memotong fitur keamanan di Android Marshmallow 6.0, Symantec kini menghadirkan rincian teknis tentang dua metode lain yang digunakan untuk mengelabuhi fitur keamanan Android versi terbaru tersebut.
Seperti trojan Android.Bankosy dan Android.Cepsohord click-fraud bot, keduanya mendapatkan daftar proses aktif dari aplikasi yang berjalan pada OS Android (running tasks), penulis trojan tersebut tampaknya mengadopsi prilaku aplikasi dari proyek AndroidProcesses yang terdapat di GitHub milik Jared Rummler.
Daftar proses aktif dari aplikasi sangat penting untuk penulis script malware karena memungkinkan mereka untuk mengendus aplikasi pengguna yang sedang berjalan yang kemudian menciptakan overlay phishing berbahaya di OS Android yang terinfeksi yang kemudian malware tersebut mengumpulkan kredensial login korban, proses aktif dari aplikasi Android tersebut seblumnya muncul di Android Lollipop 5.0 dengan nama getRunningTasks() namun telah dihapus di Lollipop dan versi berikutnya.
Metode 1: Membaca "/proc/" file system
Metode 2: Menggunakan API UsageStatsManager
Seperti trojan Android.Bankosy dan Android.Cepsohord click-fraud bot, keduanya mendapatkan daftar proses aktif dari aplikasi yang berjalan pada OS Android (running tasks), penulis trojan tersebut tampaknya mengadopsi prilaku aplikasi dari proyek AndroidProcesses yang terdapat di GitHub milik Jared Rummler.
Daftar proses aktif dari aplikasi sangat penting untuk penulis script malware karena memungkinkan mereka untuk mengendus aplikasi pengguna yang sedang berjalan yang kemudian menciptakan overlay phishing berbahaya di OS Android yang terinfeksi yang kemudian malware tersebut mengumpulkan kredensial login korban, proses aktif dari aplikasi Android tersebut seblumnya muncul di Android Lollipop 5.0 dengan nama getRunningTasks() namun telah dihapus di Lollipop dan versi berikutnya.
Metode 1: Membaca "/proc/" file system
Teknik ini pertama kali ditemukan oleh Symantec diambil dari proyek AndroidProcesses. App ini sebenarnya tidak terlalu berbahaya akan tapi penjahat telah mencuri beberapa kode dan menggunakannya. Metode yang digunakan Rummler tersebut yaitu dengan membaca "/proc/" untuk mendapatkan semua daftar semua proses yang sedang berjalan. Symantec mengatakan teknik ini bekerja pada Android Lollipop dan Marshmallow namun tidak di Android N.
Metode 2: Menggunakan API UsageStatsManager
Trik kedua meminjam dari proyek yang sama, akan tetapi juga menggunalan proyek aplikasi milik GeeksOnSecurity yang disebut Android Malware Example. Metode API UsageStatsManager ini digunakan untuk mendapatkan daftar proses yang berjalan. API ini memberikan data historis merinci penggunaan perangkat, termasuk aplikasi terakhir yang digunakan oleh pengguna. UsageStatsManager API ini aktif secara manual, namun dengan keterbatasan tersebut para penjahat menggunakan overlay palsu untuk meminta izin akses perangkat, menyamarkan nama aplikasi mereka yang disertai dengan icon palsu.
Symantec mengatakan bahwa overlay ini dibuat menggunakan kode yang ditemukan di GeeksOnSecurity. Symantec mengatakan teknik ini tidak bekerja pada OEM Android tertentu, seperti Samsung.
0 comments:
Post a Comment