Hati-hati Banking Trojan Menyamar Flash Player

Bagi para user yang aktif menggunakan aplikasi mobile banking mulai sekarang harus lebih berhati-hati pada Android Banking Trojan, apalagi malware ini ikut meniru menggunakan motif manipulasi dengan menyamar menjadi aplikasi yang resmi seperti Flash Player. Teknik penyamaran yang sedang menjadi tren di kalangan penjahat cyber untuk menipu user agar menyerahkan data penting akun banking mobile mereka.

Dalam pantauan ESET, aktivitas Banking Trojan ini sedang melakukan operasi besar-besaran di seluruh bank besar di Australia, Selandia Baru dan Turki. Banking malware yang dideteksi ESET sebagai Android/Spy.Agent.SI memiliki kemampuan untuk mencuri data penting login dari 20 aplikasi mobile banking. Daftar bank yang menjadi sasaran termasuk bank besar di tiga negara yang menjadi target utama secara keseluruhan dapat dilihat pada bagian akhir artikel ini. Kelebihan lain yang tak kalah menakutkan adalah kemampuan memblokir komunikasi via SMS atau dengan kata lain malware mampu untuk bypass SMS yang digunakan sebagai two factor authentication. Sangat Berbahaya!

Di Indonesia, kasus yang menyerupai sudah pernah terjadi namun masih dalam sistem operasi windows. Cara kerja yang mirip menjadikan model trojan ini digemari oleh pengembang malware dengan tujuan ekonomi. Saat itu bank beberapa besar juga menjadi target pencurian akses dan dana nasabahnya,

Analisa

Dari hasil analisa yang dilakukan oleh ESET, malware menyamar sebagai Flash Player dengan ikon yang terlihat sama seperti aslinya, yang keberadaannya diketahui berada pada beberapa server. Server ini terdaftar sejak akhir Januari dan Februari 2016, menariknya jalur URL ke file malicious APK akan meregenerasi setiap jam, mungkin untuk menghindari deteksi URL oleh software antivirus.

Gambar 1 Hosting situs Berbahaya Android/Spy.Agent.SI

Setelah mengunduh dan menginstal aplikasi, user diminta untuk mengizinkan aplikasi mendapatkan hak akses. Mekanisme self defence ini mencegah malware terhindar dari uninstal atau dihapus dari perangkat. Ikon Flash Player kemudian akan bersembunyi dari pandangan user, akan tetapi tetap aktif dibalik layar.

Selanjutnya malware melakukan komunikasi dengan remote server. Komunikasi antara klien dan server di encoded dengan metode base64. Pertama, malware akan mengirim informasi tentang Android seperti jenis model, nomor IMEI, bahasa, versi SDK dan informasi apakah administrator diaktifkan, Informasi ini dikirim ke server setiap 25 detik. Malware kemudian mengumpulkan nama-nama aplikasi yang terinstal (termasuk aplikasi mobile banking) dan mengirim semua ke remote server. Jika diantara aplikasi terinstal ada yang merupakan target dari malware, server memberikan daftar 49 target aplikasi, meskipun semua tidak langsung diserang.

Manifestasi dari malware itu sendiri adalah sebagai overlay, muncul di atas aplikasi perbankan, aktivitas phishing ini berperilaku seperti lock screen, yang tidak bisa dihentikan tanpa memasukkan kredensial login user. Malware tidak memverifikasi kredibilitas data yang dimasukkan melainkan mengirimnya ke remote server, dimana saat itu terjadi titik malicious overlay menutup. Malware bukan hanya mengincar data penting aplikasi banking mobile tetapi juga data pada akun Google.

Versi pertama memang sederhana dengan tujuan jahat yang mudah diidentifikasi. Namun versi selanjutnya lebih membingungkan dan mengenkripsi.

Proses Manipulasi

Apabila target aplikasi diluncurkan, malware akan memicu login screen palsu yang melapisi atau menindih aplikasi mobile banking yang asli tanpa opsi untuk menutupnya.

Gambar 2 Komunikasi dengan Server

Setelah user mengisi data pribad mereka, login screen palsu akan menutup dan aplikasi mobile banking yang asli akan muncul.

Seperti disebutkan sebelumnya, semua pertukaran informasi antara perangkat dan server di encoded, kecuali untuk kredensial tercuri yang dikirim dalam teks biasa.

Figure 3 - Credentials sent in plain text

Gambar 3 – Kredensial dikirim dengan Teks Biasa

Dengan kemampuan mencegat kode SMS 2FA (two factor authetication) dengan mengirim semua pesan teks yang diterima ke server jika diminta. Situasi ini memungkinkan pelaku untuk mendapatkan semua pesan SMS dari bank dan sesegera mungkin menghapus semua dari perangkat korban agar tidak menimbulkan kecurigaan.

Cara Menghapus Malware

Untuk proses uninstall malware ini, ada dua skenario berbeda yg dapat digunakan:

  1. Pertama user harus menonaktifkan hak akses administrator dan menghapus Flash Player palsu dari perangkat. Menonaktifkan hak akses administrator bisa memiliki dua kemungkinan. Yang sederhana dengan cara mengaktifkan hak akses administrator di Settings -> Security -> Device administrators -> Flash Player -> Deactivate lalu abaikan peringatan palsu dan pilih OK.

    Baru setelahnya user mampu uninstal malware via Settings -> Apps/Application manager -> Flash Player -> Uninstall.

Proses penghapusan menjadi lebih rumit bilamana android sudah menerima perintah dari server untuk menonaktifkan hak akses administrator. Saat user berusaha melakukannya, malware akan membuat overlay dibagian depan untuk mencegah user mengklik tombol konfirmasi maka dengan begitu upaya penonaktifan akan gagal.

  1. Metode lain atau skenario kedua untuk mengamankan hak akses administrator adalah masuk ke Safe Mode. Ketika booting ke Safe Mode, aplikasi third party tidak akan di load atau dieksekusi dan user dapat dengan aman menonaktifkan hak akses administrator. seperti dalam skenario pertama, selanjutnya aplikasi dapat dihapus. ESET mendeteksi malware ini sebagai Android/Spy.Agent.SI.

Information Tambahan

Malware ini dideteksi ESET Mobile Security dengan nama Android/Spy.Agent.SI

C&C servers:

http://94.198.97.202

http://46.105.95.130

http://181.174.164.138

Download servers:

http://flashplayeerupdate.com/download/

http://adobeflashplaayer.com/download/

http://adobeuploadplayer.com/download/

http://adobeplayerdownload.com/download/

http://adobeupdateplayer.com/download/

http://adobeupdateplayeer.com/download/

http://adobeupdateflash11.com/download/

Target Bank:

Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası and Ziraat Bankası.

Targeted package names:

org.westpac.bank

com.westpac.cashtank

au.com.westpac.onlineinvesting

org.banking.westpac.payway

com.rev.mobilebanking.westpac

com.westpac.illuminate

com.bendigobank.mobile

com.commbank.netbank

org.stgeorge.bank

au.com.nab.mobile

au.com.bankwest.mobile

com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

finansbank.enpara

com.pozitron.iscep

com.wf.wellsfargomobile

com.wf.wellsfargomobile.tablet

com.wellsFargo.ceomobile

com.wellsfargo.mobile.merchant

com.tmobtech.halkbank

com.ziraat.ziraatmobil

au.com.mebank.banking

com.anz.android.gomoney

nz.co.anz.android.mobilebanking

nz.co.westpac

nz.co.asb.asbmobile

nz.co.bnz.droidbanking

nz.co.kiwibank.mobile

com.ykb.android

com.vakifbank.mobile

com.garanti.cepsubesi

biz.mobinex.android.apps.cep_sifrematik

com.paypal.android.p2pmobile

com.ebay.mobile

com.skype.raider

com.whatsapp

com.google.android.googlequicksearchbox

com.android.vending

com.google.android.music

com.google.android.apps.plus

com.android.chrome

com.google.android.apps.maps

com.google.android.youtube

com.google.android.apps.photos

com.google.android.apps.books

com.google.android.apps.docs

com.google.android.apps.docs.editors.docs

com.google.android.videos

com.google.android.gm

Hashes

C31E5E31210B08BA07AC6570814473C963A2EF81

6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728

4A788D05DD8849CD60073F15255C166F06611475

EE88D05CF99D8C534FBA60D1DA9045FB7526343A

26A2B328F194B6B75B2CC72705DC928A4260B7E7

4AD1DBB43175A3294A85957E368C89A5E34F7B8C

DB228BB5760BD7054E5E0A408E0C957AAC72A89F

266B572B093DB550778BA7824E32D88639B78AFC

E4FA83A479642792BC89CA3C1553883066A19B6C

644644A30DE78DDCD50238B20BF8A70548FF574C

F1AAAE29071CBC23C33B4282F1C425124234481C

CAC078C80AD1FF909CC9970E3CA552A5865C7963

1C8D0E7BB733FBCEB05C40E0CE26288487655738

FE6AC1915F8C215ECEC227DA6FB341520D68A9C7

BD394E0E626CE74C938DDDF0005C074BC8C5249D

D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9

A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372

0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F

9FD295721C1FF87BC862D19F6195FDDE090524D9

57D0870E68AC1B508BC83F24E8A0EBC624E9B104

521F9767104C6CBB5489544063FCE555B94025A6

E5F536408DBB66842D7BB6F0730144FDD877A560

3FA6010874D39B050CA6CA380DAD33CA49A8B821

Referensi: http://www.welivesecurity.com/2016/03/09/android-trojan-targets-online-banking-users/