Jakarta, Lycos Gears Indonesia
—
Sebuah
malware
Android baru yang diberi nama NoVoice memanfaatkan kerentanan untuk mendapatkan akses
root
di perangkat Android.
Malware
ini telah menyebar melalui lebih dari 50 aplikasi di Google Play Store dan menginfeksi sekitar 2,3 juta pengguna.
Aplikasi-aplikasi yang membawa muatan berbahaya tersebut meliputi aplikasi pembersih, galeri foto, dan game. Aplikasi-aplikasi tersebut tidak meminta izin yang mencurigakan dan menyediakan fungsi yang dijanjikan.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Setelah aplikasi yang terinfeksi dijalankan,
malware
tersebut mencoba memperoleh akses root pada perangkat dengan memanfaatkan kerentanan Android lama yang telah diperbaiki antara tahun 2016 dan 2021.
Para peneliti di perusahaan keamanan siber McAfee menemukan operasi NoVoice, tetapi tidak dapat mengaitkannya dengan pelaku ancaman tertentu. Namun, mereka menyoroti bahwa
malware
tersebut memiliki kemiripan dengan trojan Android Triada.
Menurut para peneliti McAfee, pelaku ancaman menyembunyikan komponen berbahaya dalam paket com.facebook.utils, dengan mencampurkannya bersama kelas-kelas SDK Facebook yang sah.
Sebuah muatan terenkripsi (enc.apk) yang disembunyikan di dalam berkas gambar PNG menggunakan teknik steganografi diekstraksi (h.apk) dan dimuat ke dalam memori sistem sambil menghapus semua berkas perantara untuk menghilangkan jejak.
McAfee mencatat bahwa pelaku ancaman menghindari menginfeksi perangkat di wilayah tertentu, seperti Beijing dan Shenzhen di China, serta menerapkan 15 pemeriksaan untuk emulator,
debugger
, dan VPN. Jika izin lokasi tidak tersedia,
malware
tersebut melanjutkan rantai infeksi.
Malware
tersebut kemudian menghubungi server command-and-control (C2) dan mengumpulkan informasi perangkat seperti detail perangkat keras, versi kernel, versi Android, aplikasi yang terinstal, serta status root, untuk menentukan strategi eksploitasi.
Selanjutnya
malware
tersebut memeriksa server C2 setiap 60 detik dan mengunduh berbagai komponen untuk eksploitasi khusus perangkat yang dirancang untuk melakukan root pada sistem korban.
Dikutip dari
BleepingComputer
, McAfee mengatakan telah mengamati 22 eksploitasi, termasuk
bug
kernel use-after-free dan kelemahan
driver
GPU Mali. Eksploitasi ini memberikan operator
shell root
dan memungkinkan mereka menonaktifkan penerapan SELinux pada perangkat, yang secara efektif menghilangkan perlindungan keamanan dasarnya.
Setelah perangkat di-
root
, pustaka sistem utama seperti libandroid_runtime.so dan libmedia_jni.so diganti dengan pembungkus yang dimodifikasi (
hooked wrappers
) yang menyadap panggilan sistem dan mengalihkan eksekusi ke kode serangan.
Rootkit
tersebut membangun beberapa lapisan ketahanan, termasuk menginstal skrip pemulihan, mengganti penangan kegagalan sistem dengan pemuat rootkit, dan menyimpan muatan cadangan di partisi sistem.
Dikarenakan bagian penyimpanan perangkat tersebut tidak dihapus selama reset pabrik,
malware
akan tetap ada bahkan setelah pembersihan.
Daemon pengawas berjalan setiap 60 detik untuk memeriksa integritas
rootkit
dan secara otomatis menginstal ulang komponen yang hilang. Jika pemeriksaan gagal, daemon tersebut memaksa perangkat untuk
reboot
, sehingga
rootkit
dimuat ulang.
Kerentanan lama
Aplikasi Android berbahaya yang membawa muatan NoVoice ini telah dihapus dari Google Play setelah McAfee, salah satu anggota App Defense Alliance, melaporkannya kepada Google.
Dalam sebuah pernyataan, seorang juru bicara Google mengatakan bahwa perangkat yang telah diperbarui sejak Mei 2021 terlindungi dari NoVoice karena kerentanan yang dieksploitasi tersebut telah diperbaiki bertahun-tahun yang lalu.
“Sebagai lapisan pertahanan tambahan, Google Play Protect secara otomatis menghapus aplikasi-aplikasi ini dan memblokir pemasangan baru. Pengguna disarankan selalu menginstal pembaruan keamanan terbaru yang tersedia untuk perangkat mereka,” katanya.
Namun, pengguna yang telah menginstal aplikasi tersebut sebelumnya harus menganggap perangkat dan data mereka telah terkompromi.
Dikarenakan NoVoice menargetkan celah keamanan yang telah diperbaiki hingga Mei 2021, memperbarui perangkat ke versi yang menjalankan patch keamanan terbaru secara efektif dapat mengurangi ancaman ini.
Pengguna disarankan selalu memperbarui patch keamanan perangkat mereka dan hanya menginstal aplikasi dari penerbit tepercaya dan terkenal, bahkan di Google Play.
(fea/fea)
Add
as a preferred
source on Google
[Gambas:Video Lycos Gears]
Baca lagi: Bahlil Buka Opsi Impor Minyak dari Negara Lain Imbas Gejolak Timteng
Baca lagi: Umarell, Saat Pria Pensiunan Italia Gemar Mengawasi Proyek Konstruksi
Baca lagi: Puspom TNI Limpahkan Berkas Perkara Kasus Andrie Yunus
