5 hours ago
4
Jakarta, CNN Indonesia --
Sebuah malware Android baru yang diberi nama NoVoice memanfaatkan kerentanan untuk mendapatkan akses root di perangkat Android. Malware ini telah menyebar melalui lebih dari 50 aplikasi di Google Play Store dan menginfeksi sekitar 2,3 juta pengguna.
Aplikasi-aplikasi yang membawa muatan berbahaya tersebut meliputi aplikasi pembersih, galeri foto, dan game. Aplikasi-aplikasi tersebut tidak meminta izin yang mencurigakan dan menyediakan fungsi yang dijanjikan.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Setelah aplikasi yang terinfeksi dijalankan, malware tersebut mencoba memperoleh akses root pada perangkat dengan memanfaatkan kerentanan Android lama yang telah diperbaiki antara tahun 2016 dan 2021.
Para peneliti di perusahaan keamanan siber McAfee menemukan operasi NoVoice, tetapi tidak dapat mengaitkannya dengan pelaku ancaman tertentu. Namun, mereka menyoroti bahwa malware tersebut memiliki kemiripan dengan trojan Android Triada.
Menurut para peneliti McAfee, pelaku ancaman menyembunyikan komponen berbahaya dalam paket com.facebook.utils, dengan mencampurkannya bersama kelas-kelas SDK Facebook yang sah.
Sebuah muatan terenkripsi (enc.apk) yang disembunyikan di dalam berkas gambar PNG menggunakan teknik steganografi diekstraksi (h.apk) dan dimuat ke dalam memori sistem sambil menghapus semua berkas perantara untuk menghilangkan jejak.
McAfee mencatat bahwa pelaku ancaman menghindari menginfeksi perangkat di wilayah tertentu, seperti Beijing dan Shenzhen di China, serta menerapkan 15 pemeriksaan untuk emulator, debugger, dan VPN. Jika izin lokasi tidak tersedia, malware tersebut melanjutkan rantai infeksi.
Malware tersebut kemudian menghubungi server command-and-control (C2) dan mengumpulkan informasi perangkat seperti detail perangkat keras, versi kernel, versi Android, aplikasi yang terinstal, serta status root, untuk menentukan strategi eksploitasi.
Selanjutnya malware tersebut memeriksa server C2 setiap 60 detik dan mengunduh berbagai komponen untuk eksploitasi khusus perangkat yang dirancang untuk melakukan root pada sistem korban.
Dikutip dari BleepingComputer, McAfee mengatakan telah mengamati 22 eksploitasi, termasuk bug kernel use-after-free dan kelemahan driver GPU Mali. Eksploitasi ini memberikan operator shell root dan memungkinkan mereka menonaktifkan penerapan SELinux pada perangkat, yang secara efektif menghilangkan perlindungan keamanan dasarnya.
Setelah perangkat di-root, pustaka sistem utama seperti libandroid_runtime.so dan libmedia_jni.so diganti dengan pembungkus yang dimodifikasi (hooked wrappers) yang menyadap panggilan sistem dan mengalihkan eksekusi ke kode serangan.
Rootkit tersebut membangun beberapa lapisan ketahanan, termasuk menginstal skrip pemulihan, mengganti penangan kegagalan sistem dengan pemuat rootkit, dan menyimpan muatan cadangan di partisi sistem.
Dikarenakan bagian penyimpanan perangkat tersebut tidak dihapus selama reset pabrik, malware akan tetap ada bahkan setelah pembersihan.
Daemon pengawas berjalan setiap 60 detik untuk memeriksa integritas rootkit dan secara otomatis menginstal ulang komponen yang hilang. Jika pemeriksaan gagal, daemon tersebut memaksa perangkat untuk reboot, sehingga rootkit dimuat ulang.
Kerentanan lama
Aplikasi Android berbahaya yang membawa muatan NoVoice ini telah dihapus dari Google Play setelah McAfee, salah satu anggota App Defense Alliance, melaporkannya kepada Google.
Dalam sebuah pernyataan, seorang juru bicara Google mengatakan bahwa perangkat yang telah diperbarui sejak Mei 2021 terlindungi dari NoVoice karena kerentanan yang dieksploitasi tersebut telah diperbaiki bertahun-tahun yang lalu.
"Sebagai lapisan pertahanan tambahan, Google Play Protect secara otomatis menghapus aplikasi-aplikasi ini dan memblokir pemasangan baru. Pengguna disarankan selalu menginstal pembaruan keamanan terbaru yang tersedia untuk perangkat mereka," katanya.
Namun, pengguna yang telah menginstal aplikasi tersebut sebelumnya harus menganggap perangkat dan data mereka telah terkompromi.
Dikarenakan NoVoice menargetkan celah keamanan yang telah diperbaiki hingga Mei 2021, memperbarui perangkat ke versi yang menjalankan patch keamanan terbaru secara efektif dapat mengurangi ancaman ini.
Pengguna disarankan selalu memperbarui patch keamanan perangkat mereka dan hanya menginstal aplikasi dari penerbit tepercaya dan terkenal, bahkan di Google Play.
(fea/fea)
Add
as a preferred source on Google
