Lima tahun yang lalu, para peneliti membuat penemuan yang mengerikan—sebuah aplikasi Android yang sah di pasar Google Play yang diam-diam dibuat jahat oleh pustaka yang digunakan pengembang untuk memperoleh pendapatan dari iklan. Dengan demikian, aplikasi terinfeksi dengan kode yang menyebabkan 100 juta perangkat yang terinfeksi terhubung ke server yang dikendalikan penyerang dan mengunduh muatan rahasia.
Kini, sejarah kembali terulang. Para peneliti dari firma keamanan yang sama yang berkantor pusat di Moskow, Rusia dilaporkan pada hari Senin bahwa mereka menemukan dua aplikasi baru, yang diunduh dari Play sebanyak 11 juta kali, yang terinfeksi oleh keluarga malware yang sama. Para peneliti dari Kaspersky percaya bahwa perangkat pengembang perangkat lunak berbahaya untuk mengintegrasikan kemampuan periklanan sekali lagi menjadi penyebabnya.
Keterampilan dagang yang cerdas
Kit pengembang perangkat lunak, yang lebih dikenal sebagai SDK, adalah aplikasi yang menyediakan kerangka kerja bagi pengembang yang dapat mempercepat proses pembuatan aplikasi dengan menyederhanakan tugas-tugas yang berulang. Modul SDK yang belum diverifikasi yang disertakan dalam aplikasi tersebut tampaknya mendukung tampilan iklan. Di balik layar, modul tersebut menyediakan sejumlah metode canggih untuk komunikasi rahasia dengan server jahat, tempat aplikasi akan mengunggah data pengguna dan mengunduh kode jahat yang dapat dijalankan dan diperbarui kapan saja.
Keluarga malware tersembunyi dalam kedua kampanye tersebut dikenal sebagai Necro. Kali ini, beberapa varian menggunakan teknik seperti steganografimetode pengaburan yang jarang terlihat pada malware seluler. Beberapa varian juga menggunakan taktik perdagangan yang cerdas untuk mengirimkan kode berbahaya yang dapat berjalan dengan hak sistem yang lebih tinggi. Setelah perangkat terinfeksi dengan varian ini, perangkat tersebut menghubungi server perintah dan kontrol yang dikendalikan penyerang dan mengirim permintaan Web yang berisi kode terenkripsi. Bahasa Indonesia: JSON data yang melaporkan informasi tentang setiap perangkat dan aplikasi yang disusupi yang menjadi host modul tersebut.
Server, pada gilirannya, mengembalikan respons JSON yang berisi tautan ke gambar PNG dan metadata terkait yang menyertakan hash gambar. Jika modul jahat yang terpasang pada perangkat yang terinfeksi mengonfirmasi bahwa hash tersebut benar, modul tersebut akan mengunduh gambar tersebut.
Modul SDK “menggunakan algoritma steganografi yang sangat sederhana,” peneliti Kaspersky menjelaskan dalam sebuah pos terpisah. “Jika pemeriksaan MD5 berhasil, ia mengekstraksi konten file PNG—nilai piksel dalam saluran ARGB—menggunakan alat Android standar. Kemudian metode getPixel mengembalikan nilai yang byte paling tidak signifikannya berisi saluran biru gambar, dan pemrosesan dimulai dalam kode.”
Para peneliti melanjutkan:
Jika kita menganggap saluran biru gambar sebagai array byte berdimensi 1, maka empat byte pertama gambar adalah ukuran muatan yang dikodekan dalam format Little Endian (dari byte paling tidak signifikan hingga paling signifikan). Selanjutnya, muatan dengan ukuran yang ditentukan dicatat: ini adalah file JAR yang dikodekan dengan Base64, yang dimuat setelah decoding melalui DexClassLoader. Coral SDK memuat kelas sdk.fkgh.mvp.SdkEntry dalam file JAR menggunakan pustaka asli libcoral.so. Pustaka ini telah dikaburkan menggunakan alat OLLVM. Titik awal, atau titik masuk, untuk eksekusi dalam kelas yang dimuat adalah metode run.
Memperbesar/ Kode Necro yang menerapkan steganografi.
kaspersky
Payload lanjutan yang terinstal mengunduh plugin berbahaya yang dapat dicampur dan dicocokkan untuk setiap perangkat yang terinfeksi guna melakukan berbagai tindakan berbeda. Salah satu plugin memungkinkan kode berjalan dengan hak sistem yang lebih tinggi. Secara default, Android melarang proses istimewa menggunakan WebView, ekstensi di OS untuk menampilkan halaman web di aplikasi. Untuk melewati batasan keamanan ini, Necro menggunakan teknik peretasan yang dikenal sebagai serangan refleksi untuk membuat contoh terpisah dari pabrik WebView.
Plugin ini juga dapat mengunduh dan menjalankan file yang dapat dieksekusi lainnya yang akan menggantikan tautan yang ditampilkan melalui WebView. Saat berjalan dengan hak sistem yang lebih tinggi, file yang dapat dieksekusi ini memiliki kemampuan untuk mengubah URL guna menambahkan kode konfirmasi untuk langganan berbayar dan mengunduh serta mengeksekusi kode yang dimuat pada tautan yang dikendalikan oleh penyerang. Para peneliti mencantumkan lima muatan terpisah yang mereka temukan dalam analisis mereka terhadap Necro.
Desain modular Necro membuka banyak cara bagi malware untuk bertindak. Kaspersky memberikan gambar berikut yang memberikan gambaran umum.
Para peneliti menemukan Necro di dua aplikasi Google Play. Salah satunya adalah Wuta Camera, sebuah aplikasi dengan 10 juta unduhan hingga saat ini. Wuta Camera versi 6.3.2.148 hingga 6.3.6.148 berisi SDK berbahaya yang menginfeksi aplikasi. Aplikasi tersebut telah diperbarui untuk menghapus komponen berbahaya tersebut. Aplikasi terpisah dengan sekitar 1 juta unduhan—dikenal sebagai Max Browser—juga terinfeksi. Aplikasi tersebut tidak lagi tersedia di Google Play.
Para peneliti juga menemukan Necro menginfeksi berbagai aplikasi Android yang tersedia di pasar alternatif. Aplikasi-aplikasi tersebut biasanya mengklaim diri sebagai versi modifikasi dari aplikasi resmi seperti Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer, dan Melon Sandbox.
Orang-orang yang khawatir bahwa mereka mungkin terinfeksi oleh Necro harus memeriksa perangkat mereka untuk mengetahui adanya indikator kompromi yang tercantum di akhir ini tulisan.
