Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 8. (Read 139684 times)

Beberapa hari lalu saya depo manual disalah satu bank daerah saya, termasuk sudah bank nasional bukan bank daerah. Nominalnya ya tidak terlalu besar. Setelah beberapa menit saya dapat kiriman WA, dari BN* saya sedikit berfikir nyeleneh karena abis setor gini para hacker ini tau ya atau ada korporasi terselubung dari bank  .

Anehnya juga saya bukan nasabah bank BN* ini sejak lama. Pernah dulu memang pakai tapi hanya sampai sekitar tahun 2017. Langkah saya ga buka undangannya, langsung saja saya blokir kontak dan laporkan. Kalau tidak salah ini WA ke tiga yang berhubungan dengan masalah berhubungan dengan Bank.
 

Sebenarnya, kalau menilik lebih lanjut, bisa dibilang ada semacam kesengajaan, dari pengembangnya, untuk membiarkan aplikasi tersebut tersedia secara publik dan juga bebas. Mengenai pembatasan, agak sedikit sulit jika sumber kode dari aplikasi tersebut tersedia secara terbuka.
Dari kasus tersebut, kalau misalnya memang benar untuk tujuan edukasi, sebaiknya proses pengambilan data dan pengiriman data tidak secara lengkap disediakan.


Betul, saya kepikiran, untuk konsen permission aplikasi yang dipasang di luar sumber resmi seharusnya lebih eksplisit.

Dari yang standarnya, "Izinkan Aplikasi X mengakses SMS?" harus dibedakan dan dipertegas dengan menyampaikan bahwa izin yang akan diberikan adalah kepada aplikasi yang bukan resmi.

Pernyataan yang senada dengan Massmobi sebagaimana pada video di youtube di atas.
Sepemahaman saya, masalahnya bukan semata pada keamanan dari sistem Android-nya, melainkan faktor dari kelalaian/kurang pahamnya sebagian user atas metode scam melalui attachment aplikasi malware tersebut. Diantara buktinya akun Whatsapp beberapa pengguna yang berhasil "dibajak" karena bisa jadi awam akan hal yang seperti ini.

Pembuat virus biasanya menyasar OS yang cukup populer sehingga potensi untuk men-scam user-nya tentu bisa lebih banyak. Meskipun demikian, peran pengontrolan yang ketat dari pengembang OS, memiliki pengaruh juga terhadap keamanan dari OS.

Banyak penyalahgunaan pada alikasi semacam SMStoTelegram, SMSeye dll.
Yanga walnya sebagai edukasi malah jadi alat untuk penipuan.
Si pembuat program tampaknya harus memberikan sebuah proteksi untuk mengatasi penyelahgunaan tersebut agar tidak merugikan banyak orang.

itu hanya kamuflase, ada berbagai nama jenis ekstensi yang digunakan yang disesuaikan dengan skenario yang dilakukan.

Biasanya scammer melakukan pengacakan nomer dan mengirim ke ribuan nomer dalam beberapa menit.
Ada juga yang memanfaatkan kecerobohan seseorang yang membagikan nomernya disosial media, lewat beberapa aplikasi yang tidak jelas, atau membeli identitas orang-orang lewat black market.

Sekarang banyak identitas pelanggan yang di perjual belikan atau data hasil peretasan seperti yang pernah dilakukan byorka dan hacker lainnya.
Saya sendiri banyak nerima WA deposit untuk judi, Pinjol, giveaway baim wong dll.

Gak usah terlalu poaranoid, itu juga gak baik.
Orang yang terlalu paranoid akan memandang semuanya terlihat rentan, padahal sudah ada solusi dari beberapa masalah yang terjadi.
Yang penting perangkat aman, gak klik atau masukin identitas penting dll.

Aku juga heran sekarang ini banyak sekali nomor yang tidak dikenal, bahkan temen sendiri ngasih link dan template lewat WA. Entah apa yang terjadi sekarang, agak aneh aja kok sekarang ini scammer itu sangat getol sekali nyerang dan mau ngambil sesuatu di HP kita lewat metode yang beginian, Jadi timbul pertanyaan dari nomor-nomor yang tidak dikenal tersebut, Mereka itu tahu nomor kita dari mana?, Soalnya pagi ini saja, sudah dapat 2 message dari unkown. 1-nya menawarkan pinjaman, 1-nya link minta vote, tapi aneh aja, minta link vote tapi yang ditampilkan seperti pdf pakai bahasa rusia.

Jadi semacam paranoid, apa lagi jika di HP terinstall wallet crypto, apa musti kita uninstall dan beralih hanya ke laptop?.

Varian dari kode sumber aplikasi spyware tersebut memang banyak. Salah satu contoh lainnya https://github.com/AbyssalArmy/SmsEye. Walaupun beberapa dari aplikasi tersebut menegaskan bahwa tujuan dibuatnya aplikasi tersebut untuk edukasi, banyak yang menyalahgunakannya untuk tujuan lain.

Saya sudah sempat bahas mengenai isu terkait di thread ini:


Mengenai format selain pdf, khususnya dalam Android, sebenarnya file tersebut masih berekstensi .apk, hanya saja memanfaatkan https://unicode-explorer.com/c/202E.

File APK yang ternyata virus ini sempat jadi trending topik dan cukup meresahkan.
Bahkan Smartphone saudara saya sempat terinfeksi gara-gara menginstal apliaksi malware tersebut yang didapat dari grup Sekolahnya.

Malware tersebut memang semacam Spyware yang menargetkan pada SMS untuk mengetahui Kode OTP, GPS dan nomer telepon.

dan ini alasan kenapa WA bisa kenak hack dan akun-akun lainnya juga kenak hack, Karena Si hacker memanfaatkan keamanan yang terkait dengan nomer telepaon dan mereset semua akun lewat OTP sms dan bahkan email juga di hack.

---

Tapi apakah memang semudah itu melakukan peretasan dengan aplikasi Malware tersebut?
dan apk malware menargetkan pada Smarphone android saja, apakah memang se bobrok itu sistem android?

Beberapa hari yang lalu saya juga sudah menonton video perihal APk malware ini dan melihat bagaimana malware tersebut bekerja dan menginfeksi android.

Sebelum melakukan penginstalan tentu ketika menekan tombol unduh APK akan otomatis terdownload, tapi itu hanya akan tersimpan didalam file terlebih dahulu dan ketika menekan kedua kalinya maka akan melakukan peginstalan.

Penginstalan juga membutuhkan permission dari dari aplikasi Whatsapp dan itu akan muncul setuju atau tidak untuk mengintsal apliaksi pihak ketiga yang bukan dari playstore, jadi tentu gak langsung nginstal tapi akan ada warning dulu. untuk security baru dari Google Play Protect juga akan menolak untuk menginstal aplikasi yang terindikasi sebagai malware.


Tujuan utama malware tersebut adalah mendapatkan permission aplikasi SMS yang kemudian ketika di setujui semua SMS yang masuk akan disadap dan otomatis dikirim ke telegram si hacker tersebut.


Tabel permintaan akses yang berbahaya oleh aplikasi

---

Bukti bahwa aplikasi Resi Pengiriman adalah hasil forking dari aplikasi SMStoTelegram,
ada commit terakhir sekitar 1 tahun yang lalu dengan komentar “Create J&T Express” oleh pengguna github comdomain

https://github.com/smjltd/SMStoTelegram


NOTE: Untuk lebih amannya memang lebih baik langusng menghapus atau memblokir nomer yang mengirim file APK seperti itu dan beberapa file juga berformat pdf dan format file lainnya.

Untuk video lengkapnya tentang bagaimana APK Malware ini bekerja bisa tonton video dibawah ini.



Source:
https://csirt.tangerangkota.go.id/berita/analisa-malware-apk-android-berkedok-cek-resi-pengiriman-paket
https://www.youtube.com/watch?v=WSuZimJFmnQ

Pengguna smartphone jangan asal tap lampiran file mencurigakan meskipun berasal dari nomor kontak teman yang dikenal.

Baru saja terjadi beberapa waktu yang lalu, tiba-tiba salah satu akun whatsapp teman di grup operasional kantor tempat saya bekerja mengirimkan undangan berupa gambar dan juga file attachment dengan nama Undangan Digital (ternyata no WA beliau terkena hack);
Saya coba dowload file-nya melalui Whatsapp desktop (versi macOS) dan penasaran coba di scan via https://www.virustotal.com; ternyata hasilnya file tersebut terindikasi trojan yang mana menyasar pengguna Android (beberapa indikasi sasarannya antara lain: spy SMS, check GPS, telephone).





https://www.virustotal.com/gui/file/a5af91fa9b56bb08360901bac3768b772c4452a1677dbf7572c02debcf480963/detection

Berikut ini beberapa berita masalah keamanan yang menurut ane cukup menarik untuk dishare di thread ini:
1. Penyebaran malware Seroxen yang menyamar sebagai aplikasi yang mirip dengan dompet Solana, exchange dst[1]. Setidaknya aplikasi malware ini menyamarkan diri sebagai aplikasi echange Kraken, Solana, Monero, dan DiscordRpc. Pada prinsipnya pastikan agan download aplikasi dari website yang resmi dan verifikasi file yang agan download untuk menghindari malware semacam ini.
2. Buat yang menggunakan situs Wordpress, ditemukan model penyebaran script berbahaya yang memanfaatkan BSC untuk menyembunyikan payload yang berbahaya[2]. Payload ini akan memunculkan situs notifikasi palsu yang kalau agan klik akan mendownload malware ke perangkat agan. Yang paling rentan adalah situs-situs wordpress, jadi ada baiknya agan periksa dan perbarui kalau agan punya situs berbasis Wordpress. Tidak ada salahnya juga untuk tetap berhati-hati di situs lainnya.
3. Masalah data breach juga masih terus muncul akhir-akhir ini. Selain 23andMe yang kena lawsuit karena kebocoran data konsumen[3], Shadow PC juga mewanti-wanti usernya karena sempat mengalami serangan ke database mereka[4].   

[1] https://www.bleepingcomputer.com/news/security/malicious-solana-kucoin-packages-infect-nuget-devs-with-seroxen-rat/
[2] https://www.bleepingcomputer.com/news/security/hackers-use-binance-smart-chain-contracts-to-store-malicious-scripts/
[3] https://www.bleepingcomputer.com/news/security/23andme-hit-with-lawsuits-after-hacker-leaks-stolen-genetics-data/
[4] https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/

Berikut beberapa berita berkaitan dengan malware crypto dan sejenisnya beberapa minggu terakhir:
1. Malware terbaru Lazarus yang digunakan untuk menyerang user lewat iklan pekerjaan palsu kabarnya memiliki model evasi yang baru[[1]. Untuk pengguna kayak kita sepertinya cara melindungi diri yang paling ampuh ya menggunakan adblocker atau tidak mengklik iklan" yang ada di situs yang kita kunjungi.
2. Malware Zanubis dan Asymcrypt Crypto loader kabarnya mulai banyak disebarkan di berbagai situs[2]. Zanubis ini malware yang mencuri data di HP anda sementara Asymcrypt ini adalah malware yang menarget dompet kripto secara khusus. Cara menghindarinya adalah memastikan agan tidak mendownload aplikasi yang sudah terinfeksi, jadi pastikan verifikasi dulu apk yang agan download sebelum menginstallnya di HP.
3. Malware GoldDigger yang menarget aplikasi perbankan dan kripto di Vietnam juga akhir-akhir ini banyak menyebar ke pengguna kripto Vietnam[3].

[1] https://cointelegraph.com/news/crypto-firms-lazarus-group-new-malware-fake-job-scam
[2] https://www.cxotoday.com/press-release/unmasking-zanubis-banking-trojans-sneaky-evolution-and-cryptocurrency-threats-unveiled/
[3] https://crypto.news/group-ib-warns-about-malware-targeting-banking-apps-and-crypto-wallets-in-vietnam/

Sejauh ini masih aman, (mungkin karena hanya ada wallet untuk small balance), tapi ya tidak bikin nyaman juga kalau berbarengan ada wallet isinya banyak untuk penyimpanan jangka panjang di dalam PC tersebut. Solusi realnya memang harus beli laptop lagi, dimana memisahkan mana laptop yang dipakai kerja dengan laptop khusus wallet dan forum.

Kalau saya dulu itu (dimana sebelumnya cuma punya 1 laptop berisi software bajakan), solusi untuk wallet menggunakan Tail OS [1]

[1]. [Guide] Cara Install Live OS di Flashdisk (Khusus Wallet)

Untuk jual beli key lewat olshop seperti ini biasanya beda kerjanya dengan software yang dicrack. Sejauh yang ane tahu agan pake instalasi yang asli dan nanti tinggal input key yang sudah diberikan penjualnya. Harga bisa miring karena reseller kaya gini biasanya beli banyak key sekaligus sehingga mereka bisa jual dengan profit. Tentu saja ini ga jaminan key yang diberikan benar-benar asli.

Mungkin agan bisa bikin thread baru untuk nyari alternatif software open-source sesuai kebutuhan agan. Atau kalau terpaksa bisa ikuti saran om etf dengan menggunakan virtual machine kalau komputer agan cukup ok. Daripada agan menunggu nanti crack dari situs" semacam di atas kesusupan malware, lebih baik menghindari sejak awal. Kan banyak juga kasus situs kaya gini ujungnya menyusupi malware yang bisa saja dampaknya ga akan rasakan langsung karena mereka ngoleksi data aktivias agan, bukan nyuri wallet.

---

Btw, kemaren terjadi kasus security breach yang memanfaatkan kelengahan user/perusahaan yang mengaktifkan fitur sinkronisasi 2FA[1]. Sebaiknya agan" hati khususnya kalau download aplikasi yang aneh", mengingat banyak malware saat ini memang sengaja menyerang aplikasi 2FA.
[1] https://www.bleepingcomputer.com/news/security/retool-blames-breach-on-google-authenticator-mfa-cloud-sync-feature/

Rivewnya gimana om? amankah? Patch atau craknya seperti kalau sofware asli gitu ya om? Artinya tidak ada aplikasi crack path yang harus run as administrator/diinstal. Hanya memasukan kombinase kode?
Meminimalisir tapi saya pikir, Ya resikonya selalu ada kalau tidak berasal dari web resmi penyedia layanan.

Saya sudah jarang download yang crack-an semenjak mengenal crypto, karena takutnya ada apa-apa di PC saya nanti. Oleh karena itu, saya pakai yang sedikit agak legal dengan membeli di toko online, entah apa itu asli atau abal-abal, tapi harga yang ditawarkan memang sangat murah dibanding dengan harga aslinya, Nitro aja saya lihat [1], cuma 50 ribuan. Ada beberapa yang saya beli di olshop yang masih saya pakai sampai sekarang, seperti office 2019, adobe dc pro, dan gramarly. semuanya saya beli di bawah harga yang sebenarnya.

[1]. https://www.tokopedia.com/bandarcoawindows/nitro-pdf-professional-10-lifetime-original-lisensi?extParam=ivf%3Dfalse&src=topads

Dilema karena software original sangat mahal memang sudah lama, bahkan untuk software antivirus* versi full saja saya lihat ada yang sudah 'termasuk' patch nya sehingga tinggal install tanpa perlu melakukan patch/crack terpisah, seperti contoh pada website yang agan sebutkan di atas: Malwarebytes Anti-Malware 4.5.26.259 Full Version.

* Padahal seperti diketahui, pada dasarnya antivirus itu kontra terhadap software hasil crack/patch dan kalau mendeteksi di PC ada file sejenis itu maka akan dianggap virus.

Kadang untuk urusan perdokumenan saya sering gunakan fitur aplikasi pengolah dokuman misal Nitro, selain itu olah video juga butuh fitur pro. Jadi sepertinya crack dalam penyedia fitur aplikasi pro menjadi peluang tersendiri untuk menyusupinya, walapun saat ini saya sudah menyadari itu sangat berbahaya ada dilema juga om. Selain itu untuk yang sofware open-source sepertinya tidak semua masih terbatas. Bahkan mungkin saja windows instaler bisa jadi disusupi dan jika disuruh beli yang ori nampaknya juga sangat mahal om. Dulu saya pernah kena clipboard, hingga harus instal ulang windowsnya. 
Ada beberapa web yang memang jadi langganan saya seperti kuyha, alex, bagas31. Diweb ini rata rata saya bisa dapat sofware + crack. Tapi selama ini saya mendapat sofware yang nampaknya masih save. Tapi ya memang om saya tidak mencampur aduk dengan laptop saya. Saya memisah untuk urusan Crypto Asset . Mungkin om bisa riview webnya apakah save atau tidak om?

Bagi pengguna iOS yang masih di-support dengan update, sebaiknya segera perbaharui OS nya ke versi terbaru (saat ini versi 16.6.1).
Beberapa waktu lalu Citizen lab melaporkan perihal Spyware Pegasus ^[1] yang dapat meng-eksploitasi PassKit (Framework dibalik aplikasi Apple Pay dan Wallet di iOS).
Spyware ini dapat masuk dengan memanfaatkan bug pada iOS versi sebelumnya.

Spyware Pegasus ini juga dilaporkan bisa mengekstrak semua data dari perangkat seluler yang sudah terinfeksi bahkan dapat mengaktifkan mikrofon dan mendengarkan percakapan secara diam-diam.<sup>[2]

[1]</sup> https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
^[2] https://www.theverge.com/2021/7/18/22582532/pegasus-nso-spyware-target-phones-journalists-activists-investigation

Buat pengguna Windows yang sering download software modelling/desain dan download crack sebaiknya hati-hati karena kabarnya banyak malware crypto yang menyusup di package installasi Windows (Windows Advanced Installer)[1]. Dari berita yang beredar sih kabarnya kebanyakan yang ditarget adalah mereka yang ada di Eropa, seperti Pranscis dan Swissm, tapi ada potensi menyerang pengguna lain seperti di Asia (Singapura). Intinya tergantung agan downloadnya di web apaan. Lebih baik pakai software open-source saja daripada download software bajakan yang potensi virusnya gedhe.

[1]  https://cointelegraph.com/news/windows-tool-targeted-hackers-crypto-mining-malware

Kabar baru mengenai malware yang menargetkan dompet crypto. NSA, CISA, FBI dan NSCC telah merilis virus baru bernama Infamous Chisel. Malware ini digunakan oleh badan intelejen militer Rusia menargetkan perangkat Android yang digunakan oleh militer Ukraina. Virus ini dirancang untuk dapat memindai file, memantau jaringan, mengekstrak data dari file. Walapun tujuan utama militer rusia tapi sepertinya kita wajib selalu waspada. Selain itu melalui apa mereka menyusup saya belum menemukan.

Sumber: https://cryptopotato.com/russian-malware-targets-crypto-wallet-us-and-uk-intelligence-agencies-issue-joint-warning/

Iya ane paham gan, makanya ane bilang "Ane kurang familiar dengan emulator yang ada di Windows".

---

Eniwei, berikut beberapa berita terkait keamanan, malware, dst terbaru yang ane rasa cukup menarik:
1. Salah satu grup hacker berhasil mengirimkan malware yang menyerupai Telegram dan Signal di Play Store[1]. Sebenarnya bukan hal baru lagi, jangan lupa verifikasi kalau agan mau download aplikasi baik di store official sekalipun. Kalau agan download aplikasi palsu semacam ini, ada banyak hal yang bisa dicuri dari agan. Mulai dari riwayat pesan, telepon, foto yang ada di HP, dst.
2. Banyaknya berita data breach di berbagai perusahaan seperti Paramount mengingatkan kita supaya selalu hati-hati dan jangan menggunakan data yang sama di berbagai website[2]. Menggunakan password manager seperti KeePass bakal memudahkan agan untuk melakukan hal tersebut. Tentunya jangan asal ngisi data pribadi di berbagai tempat juga.
3. Ekstensi Chrome yang bisa mencuri password plaintext dari berbagai situs website juga barusan dirilis[3] oleh salah satu tim peneliti keamanan di luar sana. Bukan hal baru juga ada yang maling passowrd, yang jelas variasinya makin semakin banyak. Jangan asal install ekstensi dan kalau bisa verifikasi sebelum install. Lebih baik lagi mungkin mengurangi ekstensi di browser utama agan dan gunakan browser lain untuk kebutuhan yang tidak sensitif. CMIIW.

[1] https://www.bleepingcomputer.com/news/security/trojanized-signal-and-telegram-apps-on-google-play-delivered-spyware/
[2] https://www.bleepingcomputer.com/news/security/paramount-discloses-data-breach-following-security-incident/
[3] https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/