Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 7. (Read 153798 times)

Bukan hanya human dan system yang harus diperhatikan tapi aspek lain yang membuat lolosnya aplikasi yang mengandung malware. Biasanya si pembuat aplikasi itu sudah paham celah dan lubang untuk menyisipkannya ke playstore, mungkin sudah pernah dan berulang kali melakukan sebelumnya, tapi ya baru ketahuan sekarang-sekarang ini karena mungkin google sudah upgrade system security-nya, sedangkan si pembuat aplikasi masih pakai system malware yang lama.

Padahal pihak playstore sudah menerapkan sistem seleksi dan pemeriksaan yang ketat sesuai aturan pada pedoman konten tetapi ada pihak yang tidak bertangung jawab yang meng-submit beberapa aplikasi dari akun yang berbeda sehingga ada beberapa aplikasi yang lolos dari proses seleksi yang telah di terapkan pihak playstore, seharusnya pihak playstore meningkatkan sistem mereka untuk mengurangi potensi hal yang sama terjadi lagi di masa depan, tapi yang namanya "human erorr" dan sistem eror juga tidak bisa dipungkiri bisa saja penyebab lolosnya aplikasi malware dikarenakan ada puluhan bahkan ratusan aplikasi yang diperiksa dalam sehari, jadi yang menjadi catatan bahwa kita harus memiliki pengetahuan untuk memeriksa aplikasi sebelum menginstal pada ponsel kita, ada beberapa tips sederhana untuk mengetahui aplikasi resmi pada playstore :
- pastikan anda mengakses link playstore dari sumber web resmi, dipastikan 100% aplikasinya aman dari virus.
- pastikan juga memeriksa nama akun yang mengunggah aplikasi dari sumber yang terpercaya karena ada beberapa aplikasi tiruan yang di unggah dari akun baru atau akun palsu yang meniru nama penggunggah aplikasi resmi.
- jangan pernah menginstal .apk dari sumber manapun karena aplikasi yang telah diperiksa keamanan hanya tersedia di store resmi.
- biasakan membaca ulasan aplikasi.

Ane rasa bisa kombinasi ketiganya atau malah lebih sih om. Sejauh ini berita kaya gini juga ga sedikit, jadi sudah pasti filter dari Google sendiri kurang. Di sisi lain berita aplikasi phishing yang menyerupai apps terkenal biasanya cepat ditanggapi, bisa jadi report dari usernya lebih banyak sehingga Google lebih sigap dalam merespons. Dalam hal aplikasi yang tidak begitu terkenal dan report dari user kurang, ga ada inisiatif dari pihak Google sendiri untuk memfilter apps yang bersangkutan. Yang jelas mau ada report atau kontribusi dari user, Google sendiri harus cepat berbenah mengatasi hal tersebut.

Artinya aplikasi yang mengandung malware tersebut sudah sekitar dua tahun di Playstore; Dan dalam kurun waktu tersebut saya baca pada link di atas sudah di download sekitar 1400 kali.
Apa hal tersebut karena kurangnya report dari pengguna yang terdampak, atau memang mereka tidak begitu menyadarinya atau memang filter yang kurang ketat dari Google untuk aplikasi yang bisa tampil di PlayStore?

Kalau aplikasinya berisi malware, sekelas google tentunya memliki filter untuk mendeteksi ini, atau minimalnya sudah punya kerjasama dengan pengembang software keamanan semisal anti virus/malware sebelum benar-benar aplikasinya terdaftar di PlayStore (namun entah kebijakannya terlalu loggar atau bagaimana sehingga aplikasi tersebut muncul sekian lama disana).

Lain hal jika aplikasinya adalah berupa aplikasi Phishing yang mana dari sisi aplikasinya sendiri tidak mengandung malware/virus, contoh aplikasi fake Electrum: 'Electrum Wallet Management' yang beberapa waktu lalu bahkan ada di AppStore.

Kalau masih ada yang hobi install aplikasi dengan nama plesetan di Play Store atau store lainnya, sebaiknya segera dihentikan. Berita terakhir yang ane baca mengungkap kalau rata-rata aplikasi kaya gitu disusupi malware yang bisa merekam data yang agan kirim seperti pesan teks, riwayat browser, dst. Bukan tidak mungkin file wallet dan sejenisnya juga menjadi target[1]. Yang paling mengecewakan adalah aplikasi dengan malware ini hanya dihapus dari Google Play Store sekitar tahun lalu, padahal penyebaran udah mulai ada sejak 2021. Entah ini menunjukkan ada progress filtering di Google Play atau malah tidak sama sekali.

[1] https://www.bleepingcomputer.com/news/security/more-android-apps-riddled-with-malware-spotted-on-google-play/

Ada beberapa berita yang menarik dalam beberapa minggu terakhir. Buat yang pake Mac dan sering download aplikasi crack, sepertinya harus segera berhenti atau nyari alternatif aplikasi gratis kalau emang butuh download aplikasi baru. Aplikasi crack ada yang disusupi dengan malware yang memang dibuat untuk menarget pengguna kripto[1]. Prinsipnya ketika diinstall bakal mengedit beberapa file system agar bisa terus berjalan dibelakang layar dan download beberapa script lain untuk melakukan serangan atas device yang agan pakai. Beberapa wallet yang jadi serangan antara lain Bitcoin Core dan Exodus yang bakal meminta detail wallet ulang ketika berhasil teirnfeksi. Kabar baiknya ada list aplikasi hasil crack yang sudah dipastikan mengandung malware ini[2]. Tapi tetap saja ga menjamin aplikasi crack agan benar-benar ga ada malwarenya juga.

[1] https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/
[2] https://securelist.com/new-macos-backdoor-crypto-stealer/1117789

Agak heran juga kalau perusahaan kaya Ledger nge-hire orang yang ga paham tentang phishing, atau ga mengadakan edukasi sedikitpun terkait hal tersebut. Ya mau dispekulasikan kaya gimana juga kejadiannya udah terjadi, semoga aja ga keulang deh. Kalau melihat beberapa kejadian belakangan sih ini bukan yang paling mengherankan, ada juga developer yang kena scam karena mendownload software tertentu, padahal dia harusnya cukup tahu masalah kaya gini[1]. Balik lagi kebanyakan faktornya ya karena lengah, jadi hati-hati aja buat agan" lainnya.

Ini juga ada kabar exploit terbaru yang katanya bisa merecovery otentikasi Google untuk menghack akun orang[2]. Makin banyak aja faktor yang bisa dipakai untuk menyerang pengguna, walau hal ini belum dikonfirmasi oleh Google sejauh yang ane baca. Kalau beneran ada kelemahan kaya gini, orang yang sering pake fitur sinkronisasi akun Google patut hati-hati meskipun memanfaatkan 2FA. Jangan sampai download aplikasi yang aneh" dan selalu verifikasi apps yang mau agan gunakan baik di PC ataupun HP.

[1] https://www.bleepingcomputer.com/news/security/blockchain-devs-wallet-emptied-in-job-interview-using-npm-package/
[2] https://www.bleepingcomputer.com/news/security/malware-abuses-google-oauth-endpoint-to-revive-cookies-hijack-accounts/

Kalau karyawan inti seperti pada bagian pengembangan software kecil kemungkinannya tidak memiliki pengetahuan tentang phishing atau hal yang lebih bahaya dari sekedar phishing.*
Entah kalau yang dibagian 'front office', jika merujuk pada kasus marketing data breach (https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach).

*

Sepengetahuan saya Ledger memiliki Program Bug Bounty, dan jika memang laporan hasil penelitiannya valid akan ada reward dengan payment-nya menggunakan Bitcoin bukan berupa Dollar US. Lebih detailnya bisa dilihat di sini: https://donjon.ledger.com/bounty/

Mungkin para karyawan/pekerja di ledger tidak dilengkapi bekal ilmu terkait phising, istilahnya tidak pernah di-diklat-kan untuk meningkatkan kompentensi karyawan. Kalau paham kan pasti tahu detail terkait, apa lagi mereka -mereka ini berkecimpung dalam dunia IT dimana hal-hal seperti itu sudah sering terjadi di tiap detik online.

Saya lihat Ledger sendiri punya Campaign [1] untuk meminimalisir phising, artinya saat ini tidak cukup efektif berjalan jika masih banyak yang sejenis di luar sana. Mungkin ada baiknya, setiap laporan/campaign yang masuk itu ada imbalan atau setidaknya dibayar beberapa $ biar orang itu tertarik melaporkan. Kalau cuma report (tanpa imbalan) orang pada malas, apa lagi jika phising tersebut tidak kena pada dirinya.

[1]. https://www.ledger.com/phishing-campaigns-status#help-us

Udah ada beberapa kritik terkait hal di atas juga om. Sebelum Ledger ngasih tahu lebih detail gimana phishibg itu bisa terjadi, bisa dibilang pekerja tersebut lengah dan terkena serangan phishing begitu saja. Faktornya mungkin bisa banyak sih, mulai e-mail yang tidak terfilter, ga jeli mengecek domain dst. Kemaren ane juga hampir kena phishing karena salah satu e-mail tidak terfilter dengan benar. Walau harusnya kalau udah jadi pekerja Ledger familiar dengan berbagai model phishing sih. Gak terlalu heran kalau perusahaan besar kaya gitu kadang masih kecolongan juga. Wong nerapin filter iklan yang bagus saja masih ga bisa[1].

[1] https://www.bleepingcomputer.com/news/security/crypto-drainer-steals-59-million-from-63k-people-in-twitter-ad-push/

Ledger Connect Kit 1.1.8* sudah dirilis beberapa hari yang lalu, dan jangan lupa clear cache pada browser-nya terlebih dulu sebagaimana saran di atas jika sebelumnya pernah menggunakan Connect Kit versi dibawahnya.

*

---

Ada hal yang membuat saya heran (perihal standarisasi terhadap pencegahan serangan phishing) setelah membaca penjelasan dari Ledger terkait adanya eksploitasi pada DApps (pihak ketiga) yang menggunakan Ledger Connect Kit, meskipun 40 menit kemudian Ledger dan WalletConnect bisa mengatasi masalah tersebut:

Sekedar tambahan info, vulnerarbility di atas ditemukan di connectkit versi 1.1.7 ke bawah. Kalau agan sering konek dengan berbagai dapps (terlepas wallet yang agan pakai), ada kemungkinan browser agan meng-cache versi tersebut. Sebelum berinteraksi dengan dapps agan harus clear cache lebih dulu supaya connectkit yang dipakai adalah versi yang paling baru. Udah ada beberapa korban yang menggunakan berbagai jenis wallet yang kena serangan tersebut karena lupa menghapus cache beberapa hari yang lalu. Be safe people.

Hati-hati! terhadap malicious version dari Ledger Connect Kit* yang digunakan untuk menghubungkan Ledger ke dApps.

Meskipun pihak Ledger meng-claim telah menghapus malicious version tersebut, namun saat ini user disarankan untuk tidak berinteraksi dulu dengan dApps apapun, hingga ada update informasi selanjutnya dari pihak Ledger.

Jika pada saat transaksi, ada perbedaan antara tampilan di hardware Ledger dengan yang tertera di komputer atau smartphone, sebaiknya transaksi tersebut dibatalkan.




https://x.com/Ledger/status/1735291427100455293?s=20



https://x.com/Ledger/status/1735298142118072512?s=20

---

* Mengenai Ledger Connect Kit, antara lain bisa dilihat disini: https://github.com/LedgerHQ/connect-kit.

Saya pernah nemu juga di group telegram, kelihatannya mereka ini cerdik dengan pake video anak-anak gaza yang terluka, lalu setelahnya ada alamat btc dan eth untuk donasi. Namun ketika saya cek di chain abuse [1], itu alamat sudah banyak direport sebagai scam dan donasi palsu, ya harus hati-hati, kemaren-kemaren juga ada dompet donasi buat ukraina, dan donasi covid palsu. Namanya mental scamer, pasti akan dapat memanfaatkan momen untuk ngemis crypto dengan sibol donasi.

Baiknya sebelum donasi, dicek dulu apakah alamat tersebut pernah direport scam pakai tool di bawah.

[1]. https://www.chainabuse.com

Oh, saya kira IP address-nya yang dilaporkan, yang turunannya terhubung dengan beberapa phishing website.

Seingat saya dulu pernah menggunakan situs report phishing page dari Google tersebut ketika me-report website phishing Electrum palsu.
Saya belum tahu persis apakah link tersebut bisa untuk mereport beberapa page situs web phishing sekaligus dengan alasan serupa, ataukah cukup dengan satu page dan di kolom "additional details.." baru kemudian dicantumkan IP address sebagaimana yang dimaksud agan Chikito di atas.

---

Kalau tindak lanjut dari report, setahu saya memang perlu bukti kuat dan jika banyak report yang masuk dengan alasan serupa kemungkinan bisa lebih cepat di proses.
Lebih kurang mirip dengan kasus recovery akun youtube salah satu channel yang terkena hijacked, cara pelaporan dan detail lainnya seperti apa: Youtube Kami Dibajak (Hijacked): Ini Cara Kami Memperolehnya Kembali (lihat menit ke-3:25 tips agar laporan dalam kasus tersebut cepat direspon).

---

Btw, sekedar mengingatkan untuk berhati-hati terhadap situs scam yang "mengatasnamakan donasi untuk Palestina"
Beberapa temuan di media X dan website terkait ini bisa dilihat antara lain di:
https://www.bleepingcomputer.com/news/security/palestine-crypto-donation-scams-emerge-amid-israel-hamas-war/

Contoh website scam berkedok penipuan donasi Palestina menggunakan Cryptocurrency (Bitcoin, Ethereum, USDT):
https://aidgaza.xyz/donate/ (website ini sudah tidak bisa diakses), namun arsipnya bisa dilihat di sini: https://archive.ph/TxeJo.

Untuk mereport phising website, masih di google yang sama [1].
Sedangkan untuk mereport IP beserta aplikasinya, saya belum pernah. Akan tetapi, untuk mereport hanya IP address yang terdeteksi sering melakukan Scam, pernah. Yaitu di sini [2]. Itu juga terkadang lama bro, kita harus sering follow up dan mungkin perlu direport berulang-ulang baru bisa musnah semua website beserta IP addressnya. Dan, itu juga masih tergantung kebijakan mereka, karena yang mengontrol juga manusia, bisa saja kita anggap phising, tapi belum tentu juga oleh mereka, kecuali kalau operatornya AI yang punya kemampuan menganalisa secara tepat.

[1]. https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en
[2]. https://www.abuseipdb.com/

Ya, ada beberapa metode scan di https://www.virustotal.com, dan yang bisa dikatakan lebih mengena adalah scan ke file aplikasinya langsung.
Tadi sempat terpikirkan juga ke arah sana, namun saya sendiri belum mengetahui lebih jauh bagaimana cara mengekstrak file installer aplikasi yang sudah di download dari AppStore (file .ipa). Kalau di Android dulu pernah menggunakan aplikasi semacam APK Share & Backup, sehingga bisa mendapatkan file .apk yang sudah diinstall.

---

Terima kasih atas informasi link-nya. Tadi saya baru baca sepintas pada bagian "How Mitmproxy works", dan link lanjutan yang diarahkan ke sini:
https://blog.heckel.io/2013/07/01/how-to-use-mitmproxy-to-read-and-modify-https-traffic-of-your-phone/

Sepertinya, melakukan pemindaian pada URL tidak sama dengan melakukannya pada file executeable (.exe, .apk), musik, gambar, dan sebagainya[1][2]. Jadi, alamat IP yang digunakan oleh aplikasi tersebut tidak bisa dideteksi. Pada kasus hasil pindai di atas, yang kedeteksi adalah IP dari situs websitenya itu sendiri.

[1] https://support.virustotal.com/hc/en-us/articles/115002092429-I-asked-for-a-URL-scan-but-the-file-located-at-the-given-URL-was-not-enqueued-for-antivirus-scanning
[2] https://support.virustotal.com/hc/en-us/articles/115002092509-Some-URL-scanner-detects-a-given-URL-but-its-corresponding-antivirus-solution-does-not-detect-the-downloaded-file-or-vice-versa


Untuk mengetahui alamat IP dari server atau situs phising dari aplikasi terkait memang harus dianalisa terlebih dahulu. Salah satu cara yang bisa dilakukan adalah dengan memanfaatkan teknik MITM(Man-in-the-middle ), contoh pada: [3]. Cara kerja teknik tersebut memungkinkan untuk mengintersepsi jaringan, sehingga alamat IP apa saja yang aplikasi tersebut akses, akan bisa diketahui.

[3] https://medium.com/testvagrant/intercept-ios-android-network-calls-using-mitmproxy-4d3c94831f62

Saya coba telusuri salah satu aplikasi wallet phishing: Samourai wallet Management

Berikut ini link di AppStore: https://apps.apple.com/id/app/samourai-wallet-management/id6470392373
Detail informasi hasil scan via https://www.virustotal.com/:
- https://www.virustotal.com/gui/url/6b3556445b76503a9ffc5e8c2aad7027a3a240fb6f4958a759d21a3b6904106f/detection (Statusnya Clean)
- https://www.virustotal.com/gui/url/6b3556445b76503a9ffc5e8c2aad7027a3a240fb6f4958a759d21a3b6904106f/details (Serving IP Address: 104.96.192.27)
- https://www.virustotal.com/gui/ip-address/104.96.192.27/relations (relate IP tersebut cenderung ke domain-domain resmi apple)

Berikut ini link website developer-nya: https://wallet.samourai.finance/
Detail informasi hasil scan via https://www.virustotal.com/:
- https://www.virustotal.com/gui/url/b05bb52e031a1e843e211ba2bc88eb8348384d4f7e387f8f3fa586a7a7263b9f/detection (Statusnya Clean)
- https://www.virustotal.com/gui/url/b05bb52e031a1e843e211ba2bc88eb8348384d4f7e387f8f3fa586a7a7263b9f/details (Serving IP Address: 15.204.166.238)
- https://www.virustotal.com/gui/ip-address/15.204.166.238/relations (Ada beberapa domain, yang saya belum begitu familiar dengannya)

Saya coba cek sebagian domain yang relate dengannya, disana tidak terdapat aplikasi wallet phishing serupa yang lain.
Pertanyaannya, bagaimana cara mereport sekaligus dengan menggunakan IP address dari website aplikasi phishing tersebut, apakah dengan mencantumkannya juga saat me-report aplikasinya ke pihak AppStore, ataukah me-report ke salah satu atau beberapa Security vendor untuk di analisa?

---

Note: Website aplikasi Samourai wallet yang asli: https://samouraiwallet.com/.

Kalau saya lihat si scammer ini menggunakan 1 pancing dengan banyak umpan, artinya mereka tebar banyak fake dan phising aplikasi dengan metode yang sama dalam satu waktu. Case-nya hampir sama dengan phising di website, dan biasanya muaranya akan tetap pada IP yang sama. Dulu itu, ketika saya masih aktif nyari-nyari website phising [1]. Mereka ini kadang cuma ganti domain saja, sedangkan server dan VPS-nya tetap pakai IP yang sama, sehingga kalau mau report tuh aplikasi IOS di atas, sekalian saja report juga IP addressnya, sehingga sekali tebas bisa membunuh sekaligus aplikasi yang dilisted.

[1]. Phishing Cryptocurrency Site