[PERINGATAN KEAMANAN] BankBot Anubis – Malware Pada Android
    Aug. 25, 2018, 11 a.m. Posted by: aka56

    —------------------------------------------------------------------—

    PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

    Nomor: IDCERT 2018 – 0007

    Tanggal: 25 AGS 2018

    Diperbaharui: -

    Dibuatkan oleh: M. Bainul Haqi & Emil F. Yakhya

    =============================================

    BankBot Anubis – Malware Pada Android

    Pendahuluan

    Sebuah varian BankBot terbaru yang diamati telah dideteksi dan tersamar sebagai Adobe Flash Player, Avito, dan HD Video Player. Varian ini, yang telah dideteksi oleh PhishLabs sebagai BankBot Anubis, pertama kali diidentifikasi pada tanggal 5 Maret 2018.

    BankBot sendiri telah dikenal sejak dua tahun silam dimana sebelumnya diketahui Trojan perbankan untuk platform Android digunakan untuk mencuri uang dari rekening para korban. Umumnya Bankbot meminta hak administratif pada perangkat yang terinfeksi. Untuk menginfeksi korbannya, virus akan dibuat menyerupai aplikasi yang resmi. Virus ini didistribusikan dalam bentuk berbagai aplikasi dan menggunakan ikon aplikasi yang resmi sesuai dengan yang ada di Google Play Store. Sehingga, sulit untuk membedakannya dengan aplikasi resmi biasa.

    BankBot sangat berisiko karena menyamar sebagai aplikasi perbankan yang sah, biasanya menggunakan layar overlay palsu untuk meniru aplikasi perbankan yang ada dan mencuri kredensial pengguna. BankBot juga mampu membajak dan mencegat pesan SMS, yang berarti dapat melewati otentikasi 2-faktor berbasis SMS.

    BankBot Anubis membawa ancaman seluler ke tingkat berikutnya dengan menggabungkan ransomware, kemampuan keylogger, fungsi trojan akses jarak jauh, intersepsi SMS, pengalihan panggilan, dan fungsi kunci layar.

    Garis Besar

    BankBot akan mengecek keberadaan aplikasi mobile banking pada Android. Apabila BankBot menemukannya, kemudian pemberitahuan dikirim ke server C&C (command and control). Trojan kemudian menerima daftar file yang berisi file yang perlu dimonitor untuk dieksekusi atau jenis interaksi lainnya. Setelah ini selesai, Trojan menampilkan overlay formulir palsu menggunakan WebView. Jika korban memasukkan identitasnya, data tersebut segera dikirim ke penyerang. Bankbot juga melacak beberapa aplikasi konsumen paling populer untuk aktivitas pembayaran, seperti WhatsApp, Facebook, Twitter, dll untuk mengirim formulir palsu dan mendapatkan identitas korban.

    Jika pesan SMS tiba, BankBot secara otomatis mematikan semua suara dan getaran. Kemudian mengirim pesan ke hacker dan juga mencoba untuk menghapus pesan asli dari pesan yang masuk tersebut. Lalu, untuk melindungi dirinya dengan lebih baik dari anti-virus, malware juga dapat memeriksa aplikasi anti-virus yang terinstal.

    Fungsionalitas tambahan yang ditemukan di BankBot Anubis termasuk:



    • Pantauan untuk mencoba menghapus malware atau mengatur ulang sistem




    • Menyalahgunakan fitur aksesibilitas untuk mengotorisasi tindakan atas nama pengguna




    • Kirim, terima, dan mencegat SMS




    • Kunci layar dengan overlay




    • Tampilkan pemberitahuan dan lansiran palsu




    • Mengumpulkan informasi sistem seperti aplikasi yang terinstal, alamat IP, dan lokasi GPS




    • Meminta permission tambahan




    • Mengirim permintaan USSD




    • Meneruskan panggilan ke nomor yang ditentukan




    • Meluncurkan aplikasi & membuka URL




    • Perbarui server C&C




    • Menghapus data konfigurasi untuk membunuh bot





    Produk Terdampak

    BankBot Anubis berbentuk aplikasi biasa yang ada di dalam Google Play Store sehingga semua sistem Android bisa saja disusupi apabila tidak berhati-hati.

    Solusi

    Sebagai individu, ada banyak hal yang dapat Anda lakukan untuk meminimalkan kemungkinan perangkat Anda terinfeksi oleh trojan mobile banking. Hal itu antara lain:



    1. Hati-hati terhadap aktivitas mencurigakan di perangkat Anda dan akun yang terkait, misal admin baru dan tidak dikenal ditambahkan, aplikasi meminta izin yang banyak, dan aktivitas aneh di akun yang diakses melalui seluler.




    2. Gunakan antivirus. Ini akan membantu Anda mendeteksi indikator yang tidak dapat diidentifikasi secara manual.




    3. Jangan melakukan root pada perangkat Anda, dan jangan ubah pengaturan Anda untuk mengizinkan aplikasi dari sumber yang tidak dikenal.




    4. Jangan memasang aplikasi yang didistribusikan melalui SMS, email, atau iklan, dan tidak mengunjungi toko aplikasi tidak resmi.




    5. Hati-hati bahkan saat memasang dari toko resmi. Hanya ikuti tautan ke aplikasi dari situs tepercaya, dan jika Anda ragu, jangan instal.




    6. Selalu perbarui perangkat lunak dan sistem operasi, karena banyak varian malware yang memangsa versi yang lebih lama dan tidak aman.




    7. Aktifkan pemberitahuan akun dari bank Anda. Sebagian besar bank menawarkan ini ketika jenis aktivitas tertentu terdeteksi.



    Namun tentu saja, trojan perbankan seluler bukan hanya masalah bagi individu. Jika Anda khawatir organisasi atau pelanggan Anda dapat dirugikan oleh trojan perbankan seluler, ada beberapa langkah yang dapat Anda ambil:



    1. Serangan akan terjadi. Mendidik pelanggan Anda, terutama jika organisasi Anda menawarkan satu atau lebih aplikasi yang sah melalui toko aplikasi resmi, dan memberikan pengguna informasi praktik terbaik.




    2. Izinkan pengguna melaporkan serangan atau aplikasi mencurigakan, dan pastikan Anda memeriksa setiap insiden yang dilaporkan.




    3. Memanfaatkan teknik otentikasi dua faktor alternatif (yaitu, bukan SMS) - Token fisik, biometrik, dan aplikasi sandi satu kali adalah pilihan yang baik.




    4. Pantau transaksi dan informasi geolokasi IP untuk mengidentifikasi aktivitas yang mencurigakan. Pada catatan yang sama, berikan kepada pengguna Anda cara yang mudah untuk memberi tahu Anda tentang perjalanan yang akan datang atau kegiatan yang signifikan untuk menghindari penutupan yang tidak perlu.




    5. Tawarkan pemberitahuan akun untuk memberi tahu pengguna Anda tentang aktivitas yang mencurigakan.



    Referensi



    • https://bestsecuritysearch.com/android-banking-malware-bankbot-identified/




    • https://info.phishlabs.com/blog/new-variant-bankbot-banking-trojan-aubis




    • https://info.phishlabs.com/blog/bankbot-anubis-threat-upgrade




    • https://blog.trendmicro.com/trendlabs-security-intelligence/bankbot-found-google-play-targets-ten-new-uae-banking-apps/




    • https://blog.zimperium.com/bankbot-friends-phishing-mobile-customers-like-you-soon/