close
close

Kejahatan Dunia Maya, Keamanan Titik Akhir, Manajemen Penipuan, dan Kejahatan Dunia Maya

Ponsel pintar Android baru, tablet, dan TV yang terhubung dengan pintu belakang Trojan

Jayant Chakravarti (@JayJay_Tech), David Perera (@daveperera) •
7 Oktober 2023

Penjahat Tiongkok menggunakan perangkat Android pintu belakang untuk penipuan iklan
Gambar: Shutterstock

Puluhan ribu produk Android palsu buatan Tiongkok, termasuk kotak streaming TV, menjangkau konsumen yang terinfeksi malware, kata peneliti keamanan siber. Human Security mengatakan dalam sebuah laporan pada hari Rabu bahwa mereka menemukan operasi terkait yang menghasilkan jutaan dolar setiap bulannya sebagai bagian dari skema penipuan iklan online.

Lihat juga: Bagaimana mengurangi kepatuhan dan beban risiko untuk meningkatkan pendapatan keamanan siber bagi Penyedia Layanan Keamanan Terkelola (MSSP).

Jaringan penipuan iklan sebagian besar telah dibongkar dan sistem rantai pasokan tidak aktif – untuk saat ini. Para peretas akan mencoba lagi mengakses perangkat mereka yang terinfeksi, kata kepala keamanan informasi Keamanan Manusia Gavin Reid kepada Information Security Media Group.

Perusahaan yang berbasis di New York City menyebut sindikat infeksi perangkat tersebut sebagai “Badbox” dan kelompok Tiongkok di balik skema penipuan iklan tersebut sebagai “Peachpit.”

“Saya curiga mereka adalah sekelompok orang yang melakukan banyak hal,” kata Reid. Malware Peachpit adalah modul opsional di perangkat Badbox, namun penipu iklan juga mengarahkan serangkaian aplikasi independen di toko aplikasi Google dan Apple untuk menawarkan inventaris palsu di jaringan iklan.

Penyedia toko aplikasi telah memusnahkan aplikasi Peachpit dan pelaku Badbox telah menghapus modul berbahaya dari perangkat yang terinfeksi, kata Reid. “Kami menarik permadani dari bawah orang-orang ini,” katanya. “Jika kita gagal memenjarakan mereka, kita tidak lagi memberikan keuntungan bagi mereka dengan melakukan hal tersebut.”

Reid tidak menyatakan kemenangan total. Perangkat Badbox masih melakukan ping ke server perintah dan kontrolnya, yang berarti pelaku ancaman kemungkinan besar memiliki rencana untuk jaringan bot Android murah yang mereka sebarkan ke seluruh dunia. “Mudah-mudahan dalam enam bulan kami dapat memberi tahu Anda lebih banyak tentang hal ini.”

Keamanan Manusia tidak mengetahui bagaimana malware Badbox menjangkau perangkat. Ada kemungkinan bahwa pelaku kriminal dapat mencuri gadget Android seperti ponsel, tablet, dan perangkat streaming dan menyuntikkannya kembali ke dalam rantai pasokan dengan kode berbahaya sebagai bonus yang tidak diinginkan. Mereka dapat memasang firmware secara langsung di lantai pabrik melalui koordinasi dengan setidaknya satu pabrikan Tiongkok. Human Security menemukan bukti “setidaknya 200 jenis perangkat Android berbeda” terinfeksi pintu belakang, sebuah varian dari malware Triada. Sulit untuk menghitung berapa banyak perangkat di seluruh dunia yang membawa malware tersebut, namun Human Security mengatakan pihaknya mengamati setidaknya 74.000 perangkat terinfeksi.

Pertama kali dianalisis oleh Kaspersky pada tahun 2016, Triada adalah Trojan Android modular dengan akses root ke sistem operasi. Pengguna akhir biasa tidak tahu bahwa perangkat mereka terinfeksi, dan satu-satunya jalan keluar jika penggantian firmware gagal adalah membuangnya.

Google mengatakan pada tahun 2019 bahwa mereka menemukan perangkat Android terinfeksi pintu belakang setelah produsen mengirimkannya ke vendor pihak ketiga untuk pencitraan sistem yang akan mengintegrasikan fitur tambahan.

Perangkat Badbox melakukan sejumlah tindakan berbahaya. Mereka bertindak sebagai proxy, memberikan pelaku kejahatan titik keluar dari jaringan pribadi dan alamat protokol Internet yang cenderung ditangani oleh tim keamanan dengan mudah. Pelaku ancaman menggunakannya untuk membuat akun email dan pesan palsu, mungkin untuk tujuan astroturfing. Dan tentu saja, mereka dapat mengunduh malware penipuan iklan Peachpit.

Puncaknya pada November 2022, Peachpit menghasilkan sekitar $2 juta per bulan bagi penciptanya, menurut perkiraan Human Security. Pada perangkat Badbox, Peachpit memanfaatkan fitur WebView browser Android untuk menampilkan iklan tanpa menampilkannya kepada pengguna. Peretas memalsukan metrik iklan agar tampak seolah-olah iklan tersebut muncul di aplikasi tertentu atau dirujuk dari situs web tertentu. Mereka juga mengaburkan perangkat sumber dan mengirimkan kembali data palsu yang menyatakan bahwa iklan tersebut ditampilkan pada model ponsel cerdas, tablet, atau perangkat streaming tertentu di mana pengguna sebenarnya pernah melihat iklan tersebut.

Aktor Peachpit juga menawarkan 39 aplikasi ke toko aplikasi untuk Android, iOS, dan perangkat streaming yang berisi koneksi hard-code ke platform penawaran palsu, sebuah komponen tumpukan iklan terprogram yang mengumpulkan inventaris iklan yang tersedia untuk dijual. Pembeli di dunia periklanan online yang sangat otomatis tidak tahu bahwa mereka membayar iklan di bot Peachpit, kata Reid.

“Ada begitu banyak data yang mengalir melalui jaringan periklanan ini sehingga sayangnya mudah untuk disembunyikan di balik kebisingan. Dan itulah mengapa mereka menyebarkan aplikasi palsu. Itu sebabnya mereka berasal dari jaringan proxy swasta di AS.”

Seperti halnya iklan yang ditampilkan pada perangkat yang terinfeksi Badbox, pemilik perangkat dengan aplikasi Peachpit mungkin belum pernah melihat iklan tersebut.

Kompromi rantai pasokan sulit untuk dilawan karena konsumen berasumsi bahwa barang yang dijual di situs e-commerce semi-reputasi aman, kata Reid. “Bukan itu masalahnya,” katanya, seraya menambahkan bahwa jika harga sebuah tablet tampak terlalu bagus untuk dipercaya, mungkin hal tersebut juga terjadi.



source https://apkarung.com/penjahat-tiongkok-menggunakan-perangkat-android-pintu-belakang-untuk-penipuan-iklan/
Android

Penjahat Tiongkok menggunakan perangkat Android pintu belakang untuk penipuan iklan

Kejahatan Dunia Maya, Keamanan Titik Akhir, Manajemen Penipuan, dan Kejahatan Dunia Maya

Ponsel pintar Android baru, tablet, dan TV yang terhubung dengan pintu belakang Trojan

Jayant Chakravarti (@JayJay_Tech), David Perera (@daveperera) •
7 Oktober 2023

Penjahat Tiongkok menggunakan perangkat Android pintu belakang untuk penipuan iklan
Gambar: Shutterstock

Puluhan ribu produk Android palsu buatan Tiongkok, termasuk kotak streaming TV, menjangkau konsumen yang terinfeksi malware, kata peneliti keamanan siber. Human Security mengatakan dalam sebuah laporan pada hari Rabu bahwa mereka menemukan operasi terkait yang menghasilkan jutaan dolar setiap bulannya sebagai bagian dari skema penipuan iklan online.

Lihat juga: Bagaimana mengurangi kepatuhan dan beban risiko untuk meningkatkan pendapatan keamanan siber bagi Penyedia Layanan Keamanan Terkelola (MSSP).

Jaringan penipuan iklan sebagian besar telah dibongkar dan sistem rantai pasokan tidak aktif – untuk saat ini. Para peretas akan mencoba lagi mengakses perangkat mereka yang terinfeksi, kata kepala keamanan informasi Keamanan Manusia Gavin Reid kepada Information Security Media Group.

Perusahaan yang berbasis di New York City menyebut sindikat infeksi perangkat tersebut sebagai “Badbox” dan kelompok Tiongkok di balik skema penipuan iklan tersebut sebagai “Peachpit.”

“Saya curiga mereka adalah sekelompok orang yang melakukan banyak hal,” kata Reid. Malware Peachpit adalah modul opsional di perangkat Badbox, namun penipu iklan juga mengarahkan serangkaian aplikasi independen di toko aplikasi Google dan Apple untuk menawarkan inventaris palsu di jaringan iklan.

Penyedia toko aplikasi telah memusnahkan aplikasi Peachpit dan pelaku Badbox telah menghapus modul berbahaya dari perangkat yang terinfeksi, kata Reid. “Kami menarik permadani dari bawah orang-orang ini,” katanya. “Jika kita gagal memenjarakan mereka, kita tidak lagi memberikan keuntungan bagi mereka dengan melakukan hal tersebut.”

Reid tidak menyatakan kemenangan total. Perangkat Badbox masih melakukan ping ke server perintah dan kontrolnya, yang berarti pelaku ancaman kemungkinan besar memiliki rencana untuk jaringan bot Android murah yang mereka sebarkan ke seluruh dunia. “Mudah-mudahan dalam enam bulan kami dapat memberi tahu Anda lebih banyak tentang hal ini.”

Keamanan Manusia tidak mengetahui bagaimana malware Badbox menjangkau perangkat. Ada kemungkinan bahwa pelaku kriminal dapat mencuri gadget Android seperti ponsel, tablet, dan perangkat streaming dan menyuntikkannya kembali ke dalam rantai pasokan dengan kode berbahaya sebagai bonus yang tidak diinginkan. Mereka dapat memasang firmware secara langsung di lantai pabrik melalui koordinasi dengan setidaknya satu pabrikan Tiongkok. Human Security menemukan bukti “setidaknya 200 jenis perangkat Android berbeda” terinfeksi pintu belakang, sebuah varian dari malware Triada. Sulit untuk menghitung berapa banyak perangkat di seluruh dunia yang membawa malware tersebut, namun Human Security mengatakan pihaknya mengamati setidaknya 74.000 perangkat terinfeksi.

Pertama kali dianalisis oleh Kaspersky pada tahun 2016, Triada adalah Trojan Android modular dengan akses root ke sistem operasi. Pengguna akhir biasa tidak tahu bahwa perangkat mereka terinfeksi, dan satu-satunya jalan keluar jika penggantian firmware gagal adalah membuangnya.

Google mengatakan pada tahun 2019 bahwa mereka menemukan perangkat Android terinfeksi pintu belakang setelah produsen mengirimkannya ke vendor pihak ketiga untuk pencitraan sistem yang akan mengintegrasikan fitur tambahan.

Perangkat Badbox melakukan sejumlah tindakan berbahaya. Mereka bertindak sebagai proxy, memberikan pelaku kejahatan titik keluar dari jaringan pribadi dan alamat protokol Internet yang cenderung ditangani oleh tim keamanan dengan mudah. Pelaku ancaman menggunakannya untuk membuat akun email dan pesan palsu, mungkin untuk tujuan astroturfing. Dan tentu saja, mereka dapat mengunduh malware penipuan iklan Peachpit.

Puncaknya pada November 2022, Peachpit menghasilkan sekitar $2 juta per bulan bagi penciptanya, menurut perkiraan Human Security. Pada perangkat Badbox, Peachpit memanfaatkan fitur WebView browser Android untuk menampilkan iklan tanpa menampilkannya kepada pengguna. Peretas memalsukan metrik iklan agar tampak seolah-olah iklan tersebut muncul di aplikasi tertentu atau dirujuk dari situs web tertentu. Mereka juga mengaburkan perangkat sumber dan mengirimkan kembali data palsu yang menyatakan bahwa iklan tersebut ditampilkan pada model ponsel cerdas, tablet, atau perangkat streaming tertentu di mana pengguna sebenarnya pernah melihat iklan tersebut.

Aktor Peachpit juga menawarkan 39 aplikasi ke toko aplikasi untuk Android, iOS, dan perangkat streaming yang berisi koneksi hard-code ke platform penawaran palsu, sebuah komponen tumpukan iklan terprogram yang mengumpulkan inventaris iklan yang tersedia untuk dijual. Pembeli di dunia periklanan online yang sangat otomatis tidak tahu bahwa mereka membayar iklan di bot Peachpit, kata Reid.

“Ada begitu banyak data yang mengalir melalui jaringan periklanan ini sehingga sayangnya mudah untuk disembunyikan di balik kebisingan. Dan itulah mengapa mereka menyebarkan aplikasi palsu. Itu sebabnya mereka berasal dari jaringan proxy swasta di AS.”

Seperti halnya iklan yang ditampilkan pada perangkat yang terinfeksi Badbox, pemilik perangkat dengan aplikasi Peachpit mungkin belum pernah melihat iklan tersebut.

Kompromi rantai pasokan sulit untuk dilawan karena konsumen berasumsi bahwa barang yang dijual di situs e-commerce semi-reputasi aman, kata Reid. “Bukan itu masalahnya,” katanya, seraya menambahkan bahwa jika harga sebuah tablet tampak terlalu bagus untuk dipercaya, mungkin hal tersebut juga terjadi.



source https://apkarung.com/penjahat-tiongkok-menggunakan-perangkat-android-pintu-belakang-untuk-penipuan-iklan/

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)