Simplocker ransomware: Penyebaran varian barunya menggunakan Android downloader apps

iPhoneChained

Melanjutkan postingan yang membahas tentang Android Simplocker di forum yang sama pada Senin, 9 Juni 2014, berikut ini adalah analisa ESET yang akan menjawab pertanyaan tentang kemunculan, penyebaran termasuk pola dan trik penyebaran malware yang menyerang perangkat Android. Dengan mengetahui sejak awal, diharapkan user menjadi lebih waspada terhadap serangan Simplocker.

Sejak awal ditemukannya awal threat Android / Simplocker oleh para peneliti Malware di ESET Lab, pemantauan terhadap beberapa varian threat tersebut dilakukan secara ketat. Analisa yang dilakukan menemukan beberapa karakteristik diantara varian Simplocker seperti berikut:

  • Penggunaan Tor (The Onion Router) – beberapa varian menggunakan Tor .onion domain, akhiran pseudo-top-level domain host (mirip dalam konsep akhiran seperti ‘.Bitnet’ dan ‘.uucp’ yang digunakan pada era sebelumnya) menunjuk pada sebuah anonymous hidden service yang dapat dijangkau  melalui jaringan Tor – sementara yang lainnya mengunakan C&C domain biasa.
  • Ada berbagai cara dalam menerima perintah yang “terdekripsi”, yang menunjukkan bahwa pembayaran tebusan telah dilakukan.
  • Beda tebusan (termasuk perbedaan mata uang), akan memunculkan nag screens yang berbeda – atau pesan yang muncul dilayar menggunakan aplikasi nagware, sejenis shareware yang muncul dan mengingatkan user untuk mendaftar dengan membayar terlebih dahulu, atau mepengaruhi user agar membeli aplikasi full version.  (perbedaan terlihat pada tebusan untuk Hryvnia Ukraina dan Rubel Russia).
  • Penggunaan image – beberapa diantaranya menggunakan foto korban yang diambil dengan kamera di smartphone untuk menambah daya ‘tekan’ pelaku terhadap korban.

Figure 1 – Android/Simplocker.B nag screen with victim’s photo and Russian rubles instead of Ukrainian hryvnias Banyak ditemukan adanya sampel menggunakan pendekatan enkripsi sederhana yang menggunakan AES dengan password yang gampang ditebak dan beberapa varian tidak memiliki fungsi filecoder sama sekali, serta bertindak sebagai ransomware dari jenis lockscreen.

Sementara ini konsentrasi ancaman berada di sekitar wilayah Ukraina dan Rusia. Dimana malware tersebut akan menampilkan sebuah proof-of-concept, yang tentu saja ini akan sangat mengganggu bagi user yang terkena.

Prevalensi serangan Android/Simplocker didunia dapat disaksikan pada grafik berikut:

Figure 2 – Hasil pemantauan regional telemetry ESET LiveGrid(R) untuk Android/Simplocker

Salah satu pertanyaan penting saat sebuah malware ditemukan adalah terkait dengan vector infeksi yaitu dengan cara apa sebuah malware bisa masuk ke perangkat si korban? Pada bagian ini system pada ESET LiveGrid® menunjukkan beberapa vektor infeksi yang digunakan oleh Android / Simplocker. Umumnya vector ‘bergentayangan” di internet yang berkonten pornografi atau pada aplikasi berbahaya yang menyamar sebagai sebuah video dewasa, maupun aplikasi untuk melihat video dewasa, dll – bisa juga beredar di sekitaran game-game yang sangat populer dikalangan gamer seperti Grand Theft Auto: San Andreas, dan sebagainya.

Figure 3 – Situs dewasa yang membawa Android/Simplocker

Figure 4 – icon GTA San Andreas palsu

Sepanjang pengamatan yang dilakukan di ESET, salah satu yang mendapat perhatian adalah pola penyebaran, dimana pada kasus Android/Simplocker terdapat pola yang berbeda dalam trick penyebaran yaitu penggunaan komponen Trojan-downloader.  Penggunaan trojan-downloader adalah untuk mendorong  download malware tambahan atau malware lain ke sistem yang terinfeksi secara lebih “dinamis” dan cara tersebut adalah praktek yang umum di dunia malware Windows – meskipun sejauh ini pola maupun kasus seperti ini bukanlah yang pertama tetapi bukan berarti tidak penting. Pola seperti ini menjadi penting ketika kasusnya terjadi di Android.

Menggunakan trojan-downloader untuk menyelundupkan malware ke perangkat Android hingga kini masih menjadi strategi yang baru, jika dibandingkan dengan cara tradisional seperti menggunakan tipuan social engineering (menggunakan pornografi, seperti dicontohkan pada bagian sebelumnya) atau dengan teknik yang lebih canggih lagi yaitu mengeksploitasi celah-kerentahan pada perangkat lunak.

Salah satu trojan downloader -(terdeteksi oleh ESET sebagai Android/ TrojanDownloader.FakeApp) hasil analisa ESET terhadap malware tersebut menunjukkan adanya upaya mengelabui user agar men-download video player palsu – yang semestinya sudah bisa diduga, bahwa download tersebut membawa trojan Android / Simplocker. Lantas mengapa strategi trojan downloader lebih mampu melakukan penyusupan dan menghindar dari scanning system di Android (seperti Bouncer di Google Play, misalnya) atau bahkan tak terdeteksi oleh pengguna Android berhati-hati sekalipun, berikut ini adalah sebabnya:

  1. Semua aplikasi yang membuka URL di luar app – ini tidak terjadi dengan sendirinya , bisa dikategorikan sebagai perilaku berbahaya dan
  2. Downloader secara praktis tidak punya application permissions yang ber “potensi bahaya” – sehingga pengguna yang cermat dalam hal izin app untuk instalasi sekalipun, akan mengijinkannya masuk.

Selanjutnya, pada contoh yang telah dianalisis, URL yang terkandung dalam aplikasi tidak secara langsung menunjuk pada paket Simplocker APK berbahaya. Sebaliknya, trojan akan bekerja setelah melakukan redirect dari server yang dikendalikan oleh pelaku. Teknik inilah yang harus mendapat perhatian.

Trojan downloader yang menyamar sebagai aplikasi resmi dikenal dengan USSDDualWidget.

Figure 5 – Trojan-downloader yang tampil sebagai aplikasi resmi USSDDualWidget appSHA1 hash