6 Taktik Menakutkan yang Digunakan dalam Serangan Aplikasi Smartphone

Platform smartphone semakin terancam karena aktor kriminal dan negara-bangsa mencari cara baru untuk menginstal implan berbahaya dengan kemampuan canggih di perangkat iPhone dan Android. Meskipun serangan siber terhadap smartphone telah menjadi masalah yang sedang berlangsung selama bertahun-tahun, ancaman ini dengan cepat berkembang karena keluarga malware yang lebih canggih dengan fitur-fitur baru memasuki tempat kejadian.

Penyerang sekarang secara aktif menyebarkan malware dengan kemampuan akses jarak jauh penuh, desain modular, dan, dalam beberapa kasus, karakteristik seperti worm yang dapat menimbulkan ancaman signifikan bagi pengguna dan perusahaan tempat mereka bekerja. Banyak dari keluarga malware ini terus meningkat melalui pembaruan pengembangan reguler, dan penjahat cyber semakin baik dalam mengalahkan proses peninjauan toko aplikasi resmi. Sementara itu, baik AS dan Uni Eropa sedang mempertimbangkan peraturan antimonopoli baru yang dapat membuat aplikasi "sideloading" menjadi hak konsumen.

Penting bagi bisnis untuk menyadari bahwa serangan seluler adalah area fokus utama bagi aktor ancaman yang canggih. Serangan-serangan ini akan terus berkembang ketika alat dan taktik baru muncul, menimbulkan tantangan unik bagi keamanan perusahaan tradisional.

Berikut adalah enam taktik malware seluler yang perlu disiapkan perusahaan:


1. Penipuan Di Perangkat

Salah satu kemajuan malware seluler baru yang paling memprihatinkan adalah kemampuan untuk melakukan tindakan penipuan langsung dari perangkat korban. Dikenal sebagai penipuan pada perangkat (ODF), kemampuan canggih ini telah terdeteksi di Trojan mobile banking baru-baru ini, terutama Octo, TeaBot, Vultur, dan Escobar. Dalam kasus Octo, malware mengeksploitasi layanan MediaProjection Android (untuk mengaktifkan berbagi layar) dan Layanan Aksesibilitas (untuk melakukan tindakan pada perangkat dari jarak jauh). Fitur akses jarak jauh langsung ini juga telah diaktifkan melalui implementasi VNC Viewer, seperti dalam kasus Escobar dan Vultur.

ODF menandai titik balik yang signifikan untuk serangan seluler, yang sebagian besar berfokus pada pencurian kredensial berbasis overlay dan jenis eksfiltrasi data lainnya. Meskipun sebagian besar Trojan ODF terutama difokuskan pada pencurian keuangan, modul ini dapat disesuaikan untuk menargetkan jenis akun dan alat komunikasi lain yang digunakan oleh bisnis, seperti Slack, Teams, dan Google Docs.


2. Pengalihan Panggilan Telepon

Kemampuan lain yang mengganggu adalah intersepsi panggilan telepon yang sah, yang baru-baru ini muncul di Trojan perbankan Fakecalls. Dalam serangan ini, malware dapat memutuskan koneksi panggilan yang dimulai pengguna tanpa sepengetahuan penelepon dan mengarahkan panggilan ke nomor lain di bawah kendali penyerang. Karena layar panggilan terus menunjukkan nomor telepon yang sah, korban tidak memiliki cara untuk mengetahui bahwa mereka telah dialihkan ke layanan panggilan palsu. Malware mencapai ini dengan mengamankan izin penanganan panggilan selama instalasi aplikasi.


3. Notifikasi Direct Reply Abuse

Pada bulan Februari, spyware FluBot (Versi 5.4) memperkenalkan kemampuan baru menyalahgunakan fitur Notifikasi Direct Reply Android, yang memungkinkan malware untuk mencegat dan langsung membalas pemberitahuan push dalam aplikasi yang ditargetkannya. Fitur ini telah ditemukan di malware mobile lainnya, termasuk Medusa dan Sharkbot.

Kemampuan unik ini memungkinkan malware untuk menandatangani transaksi keuangan palsu, mencegat kode otentikasi dua faktor, dan memodifikasi pemberitahuan push. Namun, fitur ini juga dapat digunakan untuk menyebarkan malware dengan cara seperti cacing ke kontak korban dengan mengirimkan tanggapan berbahaya otomatis ke pemberitahuan aplikasi sosial (seperti WhatsApp dan Facebook Messenger), sebuah taktik yang dikenal sebagai "push message phishing."


4. Algoritma Pembuatan Domain

Trojan perbankan Sharkbot juga terkenal karena fitur lain: algoritma pembuatan domain (DGA), yang digunakan untuk menghindari deteksi. Seperti malware konvensional lainnya dengan DGA, malware seluler terus-menerus membuat nama domain dan alamat IP baru untuk server command-and-control (C2), yang menyulitkan tim keamanan untuk mendeteksi dan memblokir malware.


5. Melewati Deteksi App Store

Proses peninjauan aplikasi selalu menjadi permainan kucing-dan-tikus dengan pengembang malware, tetapi taktik penjahat cyber baru-baru ini patut dicatat. Kampanye kriminal CryptoRom, misalnya, menyalahgunakan platform pengujian beta TestFlight Apple dan fitur Klip Web untuk mengirimkan malware ke pengguna iPhone dengan melewati App Store sama sekali. Proses keamanan Google Play dilewati oleh satu aktor kriminal yang membayar pengembang untuk menggunakan SDK berbahaya di aplikasi mereka, yang kemudian mencuri data pribadi dari pengguna.

Sementara droppers telah menjadi semakin umum untuk distribusi malware mobile, para peneliti baru-baru ini melihat peningkatan aktivitas di pasar bawah tanah untuk layanan ini, bersama dengan aktor distribusi lainnya. .


6. Praktik Pengembangan yang Lebih Halus

Sementara desain malware modular bukanlah hal baru, Trojan perbankan Android sekarang sedang dikembangkan dengan kemampuan pembaruan canggih, seperti malware Xenomorph yang baru ditemukan. Xenomorph menggabungkan desain modular, mesin aksesibilitas, infrastruktur dan protokol C2 untuk memungkinkan kemampuan pembaruan yang signifikan yang dapat memungkinkannya menjadi Trojan yang jauh lebih maju, termasuk fitur sistem transfer otomatis (ATS). Ke depan, lebih banyak keluarga malware seluler akan menggabungkan proses pembaruan yang lebih baik untuk memungkinkan fitur yang disempurnakan dan fungsionalitas yang sama sekali baru pada perangkat yang disusupi.


Melawan Balik dengan Meningkatkan Pertahanan Perusahaan

Untuk melawan taktik malware seluler baru ini, bisnis perlu memastikan program keamanan siber mereka mencakup pertahanan yang kuat. Ini termasuk solusi manajemen perangkat seluler, autentikasi multifaktor, dan kontrol akses karyawan yang kuat. Dan, karena infeksi malware seluler biasanya dimulai dengan rekayasa sosial, perusahaan harus memberikan pelatihan kesadaran keamanan dan mempertimbangkan teknologi yang memantau saluran komunikasi untuk serangan ini.

Sumber: https://www.darkreading.com/application-security/6-scary-tactics-used-in-mobile-app-attacks