Puluhan ribu perangkat Android dengan firmware backdoor telah dikirimkan ke pengguna akhir, menurut peringatan dari penyedia keamanan siber Human Security.
Sebagai bagian dari operasi kejahatan dunia maya global BadBox (PDF), Human Security menemukan pelaku ancaman yang mengandalkan kompromi rantai pasokan untuk menyusupi firmware lebih dari 70.000 ponsel pintar Android, kotak CTV, dan perangkat tablet yang terinfeksi malware Triada.
Perangkat yang terinfeksi setidaknya berasal dari satu pabrikan Tiongkok, tetapi sebelum dikirim ke pengecer, toko ritel fisik, dan gudang e-commerce, pintu belakang telah dimasukkan ke dalam firmware mereka.
“Produk yang diketahui mengandung pintu belakang telah ditemukan di jaringan sekolah umum di seluruh Amerika Serikat,” kata Human.
Ditemukan pada tahun 2016, Triada adalah Trojan modular yang berada di RAM perangkat dan mengandalkan proses Zygote untuk memasang semua aplikasi di Android, secara aktif menggunakan hak root untuk mengganti file sistem. Seiring waktu, malware tersebut mengalami berbagai iterasi dan ditemukan sudah diinstal sebelumnya pada perangkat Android berbiaya rendah setidaknya dua kali.
Sebagai bagian dari operasi BadBox yang ditemukan oleh Human Security, perangkat Android berbiaya rendah yang terinfeksi memungkinkan pelaku ancaman melakukan berbagai skema penipuan iklan, termasuk skema yang disebut PeachPit, yang pada puncaknya mengandalkan 121.000 perangkat Android yang terinfeksi malware dan 159.000 perangkat iOS. menargetkan 39 perangkat Android, iOS, dan aplikasi yang berpusat pada CTV yang dirancang untuk terhubung ke platform sisi pasokan (SSP) palsu.
Salah satu modul yang dikirimkan ke perangkat yang terinfeksi oleh server Command and Control (C&C) memungkinkan pembuatan WebViews yang sepenuhnya tersembunyi dari pengguna tetapi “digunakan untuk meminta, merender, dan mengeklik iklan, “Ini membuat permintaan iklan terlihat seperti mereka berasal dari aplikasi tertentu, dirujuk dari situs web tertentu, dan dirender pada perangkat tertentu.
Menurut Human Security, BadBox juga menyertakan modul proxy perumahan yang memungkinkan pelaku ancaman menjual akses ke jaringan korban. Selain itu, mereka dapat membuat akun perpesanan WhatsApp dan akun Gmail, yang kemudian dapat digunakan untuk aktivitas jahat lainnya.
“Karena koneksi pintu belakang ke server C2 pada ponsel cerdas, tablet, dan kotak CTV yang terinfeksi BadBox, aplikasi atau kode baru pada akhirnya dapat diinstal dari jarak jauh oleh pelaku ancaman tanpa izin pemilik perangkat. “Aktor ancaman di balik BadBox dapat mengembangkan skema yang benar-benar baru dan menerapkannya pada perangkat yang terinfeksi BadBox tanpa intervensi apa pun dari pemilik perangkat,” catat Human.
Perusahaan keamanan siber tersebut mengatakan bahwa mereka berhasil menghentikan skema penipuan iklan PeachPit dan operator BadBox menutup server C&C mereka, kemungkinan besar untuk beradaptasi dan menghindari pertahanan yang ada.
Human juga memperingatkan bahwa perangkat yang terinfeksi BadBox tidak dapat dibersihkan oleh pengguna akhir karena pintu belakang terletak di partisi firmware dan hampir semua perangkat yang terinfeksi harganya lebih murah, sehingga merekomendasikan pengguna untuk memilih merek terkenal saat membeli produk baru.
Terkait: Trojan perbankan Android Xenomorph menargetkan pengguna di AS dan Kanada
Terkait: Spyware predator menjangkau perangkat iOS dan Android dalam waktu nol hari
Terkait: Trojan perbankan yang didistribusikan melalui Google Play menargetkan pengguna di AS dan Eropa
source https://apkarung.com/perangkat-android-dengan-firmware-pintu-belakang-ditemukan-di-sekolah-sekolah-as-2/
No comments:
Post a Comment