Malware Android Merebak Penyingkat URL Biang keroknya

Sudah menjadi pengetahuan umum saat ini bahwa jangan mudah mengklik sembarang URL. Mereka bisa saja mengirimi Anda melalui pesan teks, atau bisa juga melalui sosial media, kemungkinan lain adalah melalui situs web mana pun di internet.

Pengguna atau situs web yang menyediakan tautan ini mungkin menggunakan layanan penyingkat URL. Ini digunakan untuk mempersingkat URL panjang, menyembunyikan nama domain asli, melihat analitik tentang perangkat pengunjung, atau dalam beberapa kasus bahkan memonetisasi klik mereka.

Monetisasi berarti bahwa ketika seseorang mengklik tautan tersebut, sebuah iklan akan ditampilkan yang akan menghasilkan pendapatan bagi orang yang membuat URL yang dipersingkat.

Masalahnya adalah bahwa beberapa layanan penyingkat tautan ini menggunakan teknik periklanan agresif seperti iklan scareware dengan menggunakan trik sebagai berikut:

  • Memberi tahu pengguna bahwa perangkat mereka terinfeksi malware berbahaya,
  • Mengarahkan pengguna untuk mengunduh aplikasi dari Google Play store
  • Berpartisipasi dalam survei yang curang,
  • Mengirimkan konten dewasa
  • Menawarkan untuk memulai langganan layanan SMS premium,
  • Mengaktifkan pemberitahuan browser
  • Membuat penawaran yang meragukan untuk memenangkan hadiah.

ESET bahkan telah melihat layanan penyingkat tautan yang mendorong file “kalender” ke perangkat iOS dan mendistribusikan malware Android. ESET menemukan satu malware yang kemudian diberi nama Android/FakeAdBlocker, yang mengunduh dan mengeksekusi muatan tambahan seperti trojan perbankan, trojan SMS, dan adware agresif yang diterima dari server C&C-nya.

Berikut ESET menjelaskan unduhan pembuatan acara kalender iOS dan cara memulihkannya, sebelum menghabiskan sebagian besar posting blog pada analisis terperinci tentang distribusi Android/FakeAdBlocker dan berdasarkan telemetri ESET dengan jumlah deteksi yang mengkhawatirkan.

Analisis ini terutama difokuskan pada fungsionalitas muatan adware dan, karena dapat membuat spam acara kalender, ESET juga telah menyertakan panduan singkat yang merinci cara menghapusnya secara otomatis dan mencopot pemasangan Android/FakeAdBlocker dari perangkat yang disusupi.

Distribusi

Konten yang ditampilkan kepada korban dari penyingkat tautan yang dimonetisasi dapat berbeda berdasarkan sistem operasi yang dijalankan. Misalnya, jika korban mengklik tautan yang sama pada perangkat Windows dan perangkat seluler, situs web yang berbeda akan ditampilkan di setiap perangkat.

Selain situs web, mereka juga dapat menawarkan pengguna perangkat iOS untuk mengunduh file kalender ICS, atau pengguna perangkat Android untuk mengunduh aplikasi Android.

Meskipun beberapa iklan dan aplikasi Android yang disajikan oleh tautan singkat yang dimonetisasi ini sah, ESET mengamati bahwa sebagian besar mengarah pada perilaku yang mencurigakan atau tidak diinginkan.

Target iOS

Pada perangkat iOS, selain membanjiri korban dengan iklan yang tidak diinginkan, situs web ini dapat membuat acara di kalender korban dengan mengunduh file ICS secara otomatis. Korban harus terlebih dahulu mengetuk tombol berlangganan untuk mengirim spam ke kalender mereka dengan acara ini.

Namun, nama kalender “Klik OK Untuk Melanjutkan (sic)” tidak mengungkapkan isi sebenarnya dari acara kalender tersebut dan hanya menyesatkan para korban untuk mengetuk tombol berlangganan dan selesai.

Acara kalender ini secara keliru memberi tahu korban bahwa perangkat mereka terinfeksi malware, dengan harapan dapat mendorong korban untuk mengklik tautan yang disematkan, yang mengarah ke lebih banyak iklan scareware.

Untuk korban di perangkat Android, situasinya lebih berbahaya karena situs web penipuan ini mungkin awalnya menyediakan aplikasi berbahaya untuk diunduh para korban dan kemudian melanjutkan dengan mengunjungi atau mengunduh konten yang sebenarnya diharapkan yang dicari oleh pengguna.

Ada dua skenario untuk pengguna Android yang ESET amati selama penelitian.

    1. Ketika korban ingin mengunduh aplikasi Android selain dari Google Play, ada permintaan untuk mengaktifkan notifikasi browser dari situs web tersebut, diikuti dengan permintaan untuk mengunduh aplikasi bernama adBLOCK app.apk. Ini mungkin menciptakan ilusi bahwa aplikasi adBLOCK ini akan memblokir iklan yang ditampilkan di masa mendatang, tetapi yang terjadi adalah sebaliknya. Aplikasi ini tidak ada hubungannya dengan aplikasi adBLOCK sah yang tersedia dari sumber resmi.

Ketika pengguna mengetuk tombol unduh, browser dialihkan ke situs web lain di mana pengguna tampaknya ditawari aplikasi pemblokiran iklan bernama adBLOCK, tetapi akhirnya mengunduh Android/FakeAdBlocker. Dengan kata lain, ketukan atau klik korban dibajak dan digunakan untuk mengunduh aplikasi berbahaya. Jika korban kembali ke halaman sebelumnya dan mengetuk tombol unduh yang sama, file sah yang benar yang diinginkan korban akan diunduh ke perangkat.

    1. Dalam skenario Android kedua, ketika korban ingin melanjutkan mengunduh file yang diminta, mereka diperlihatkan halaman web yang menjelaskan langkah-langkah mengunduh dan menginstal aplikasi dengan nama File Anda Siap Diunduh.apk. Nama ini jelas menyesatkan; nama aplikasi mencoba membuat pengguna berpikir bahwa yang sedang diunduh adalah aplikasi atau file yang ingin mereka akses.

Dalam kedua kasus tersebut, iklan scareware atau trojan Android/FakeAdBlocker yang sama dikirimkan melalui layanan penyingkat URL. Layanan tersebut menggunakan model bisnis Paid to click (PTC) dan bertindak sebagai perantara antara pelanggan dan pengiklan.

Pengiklan membayar untuk menampilkan iklan di situs web PTC, di mana sebagian dari pembayaran itu diberikan kepada pihak yang membuat tautan singkat. Sebagaimana dinyatakan di salah satu situs web pemendek tautan ini di bagian kebijakan privasi, iklan ini melalui mitra iklan mereka dan mereka tidak bertanggung jawab atas konten yang dikirimkan atau situs web yang dikunjungi.

Salah satu layanan penyingkat URL menyatakan dalam persyaratan layanannya bahwa pengguna tidak boleh membuat tautan singkat untuk mengirimkan file yang berisi virus, spyware, adware, trojan, atau kode berbahaya lainnya. Sebaliknya, ESET telah mengamati bahwa mitra iklan mereka melakukannya.

Proses uninstall

Berdasarkan data deteksi ESET, Android/FakeAdBlocker pertama kali terlihat pada September 2019. Sejak itu, telah terdeteksi dengan berbagai nama ancaman. Dari awal tahun ini hingga 1 Juli, telah terlihat lebih dari 150.000 contoh ancaman ini diunduh ke perangkat Android.

Untuk mengidentifikasi dan menghapus Android/FakeAdBlocker, termasuk muatan adware yang dimuat secara dinamis, Anda harus terlebih dahulu menemukannya di antara aplikasi yang Anda instal, dengan membuka Pengaturan Aplikasi.

Karena malware tidak memiliki ikon atau nama aplikasi, malware tersebut seharusnya mudah dikenali. Setelah ditemukan, ketuk sekali untuk memilihnya lalu ketuk tombol Copot pemasangan dan konfirmasikan permintaan untuk menghapus ancaman.

Cara menghapus acara spam secara otomatis

Mencopot pemasangan Android/FakeAdBlocker tidak akan menghapus acara spam yang dibuatnya di kalender Anda. Anda dapat menghapusnya secara manual. Namun, itu akan menjadi pekerjaan yang membosankan. Tugas ini juga dapat dilakukan secara otomatis, menggunakan aplikasi.

Selama pengujian, ESET berhasil menghapus semua acara ini menggunakan aplikasi gratis yang tersedia dari Google Play store bernama Pembersihan Kalender. Masalah dengan aplikasi ini adalah hanya menghapus peristiwa masa lalu.

Karena itu, untuk menghapus acara mendatang, ubah sementara waktu dan tanggal saat ini di pengaturan perangkat menjadi hari setelah acara spam terakhir yang dibuat oleh malware. Itu akan membuat semua acara ini kedaluwarsa dan Calender Cleanup kemudian dapat menghapus semuanya secara otomatis.

Penting untuk menyatakan bahwa aplikasi ini menghapus semua acara, bukan hanya yang dibuat oleh malware. Karena itu, Anda harus hati-hati memilih rentang hari yang ditargetkan. Setelah pekerjaan selesai, pastikan untuk mengatur ulang waktu dan tanggal saat ini.

 

 

 

 

 

 

Sumber berita:

 

https://www.welivesecurity.com