Bagaimana Android Memerangi Epic Botnet Sampai Menang
Renzhare™ - Pada bulan Maret 2017, tim keamanan Android merasa senang dengan dirinya sendiri. Kelompok ini telah mendeteksi, menganalisis, dan menetralkan botnet canggih yang dibangun di atas aplikasi ternoda yang semuanya bekerja bersama untuk memicu penipuan iklan dan SMS. Dijuluki "Chamois," keluarga malware telah muncul pada tahun 2016, dan didistribusikan baik melalui Google Play dan toko aplikasi pihak ketiga. Jadi tim Android mulai dengan agresif menandai dan membantu mencopot Chamois sampai mereka yakin itu sudah mati.
Delapan bulan kemudian pada November 2017, Chamois kembali ke ekosistem Android, lebih ganas dari sebelumnya. Pada Maret 2018, setahun setelah Google mengira telah dikalahkan, Chamois mencapai rekor tertinggi sepanjang masa, menginfeksi 20,8 juta perangkat. Sekarang, setahun setelah puncak itu, tim Android telah mengurangi jumlah itu kembali menjadi kurang dari 2 juta infeksi. Dan pada KTT Analis Keamanan Kaspersky di Singapura minggu ini, insinyur keamanan Android Maddie Stone menghadirkan post-mortem lengkap tentang bagaimana Google melawan Chamois — sekali lagi — dan bagaimana pribadi persaingan itu menjadi.
Bagaimana Android Memerangi Epic Botnet Sampai Menang
"Saya benar-benar memberi ceramah di Black Hat tahun lalu tentang apa yang disebut 'Tahap Tiga' Chamois," kata Stone kepada WIRED sebelum pembicaraannya. "Dan dalam 72 jam setelah saya berbicara, mereka mulai mencoba mengubah byte dan masing-masing indikator yang saya bicarakan. Kita bisa melihat mereka memanipulasinya. Pengembang Chamois juga sidik jari lingkungan analisis keamanan Android kami yang tepat dan membangun perlindungan untuk beberapa penyesuaian yang kami gunakan. "
Kembali Dengan Pembalasan
Setelah puncak infeksi Maret 2018, tim keamanan Android mulai berkolaborasi dengan para pembela lain di Google, seperti spesialis anti-penyalahgunaan dan keamanan iklan dan insinyur perangkat lunak, untuk menangani Chamois versi baru. Dua varian pertama yang dilacak tim pada tahun 2016 dan 2017 perangkat yang terinfeksi dalam empat "tahap" untuk mengatur dan menutupi serangan. Versi 2018, bagaimanapun, berisi enam tahap, mesin pengujian antivirus, dan perisai anti-analisis dan anti-debugging yang lebih canggih untuk menghindari penemuan. Pengembang malware membangun fitur-fitur ini ke dalam kodenya sehingga dapat mendeteksi ketika sedang berjalan di lingkungan pengujian — seperti lingkungan analisis keamanan Android — dan bereaksi dengan berusaha menyembunyikan fungsionalitas jahatnya.
Baca Juga :
Malware Chamois, seperti kebanyakan jenis botnet, menerima perintah dari jarak jauh dari server "perintah dan kontrol" yang mengoordinasikan perangkat yang terinfeksi untuk bekerja pada tugas tertentu. Semua iterasi Chamois telah berfokus pada penayangan iklan berbahaya dan mengemudi penipuan SMS premium.
Ketika Anda menyumbangkan uang untuk amal atau membayar layanan digital melalui teks, Anda mengirim pesan itu ke nomor telepon premium. Penipuan SMS premium menipu Anda agar mengirim uang itu ke penjahat cyber. Android telah menawarkan perlindungan terhadap jenis penipuan sejak 2014, yang membutuhkan izin eksplisit untuk mengirim nomor premium. Tetapi malware Chamois pertama kali memeriksa apakah perangkat yang terinfeksi telah di-rooting dan, jika demikian, memanfaatkan fungsionalitas yang diperluas ini untuk secara diam-diam menonaktifkan peringatan SMS premium.
Seorang korban penipuan SMS premium Chamois akan menemukan serangan itu segera setelah mereka mendapatkan tagihan ponsel mereka, tetapi Stone mengatakan bahwa muatan penipuan iklan malware akan berjalan diam-diam di latar belakang perangkat yang terinfeksi, memuntahkan iklan berbahaya ke dunia tanpa pemilik telepon yang terinfeksi menyadari. Pada 2016 dan 2017, para penyerang menyelipkan aplikasi yang tampak jinak yang dinodai dengan Chamois ke Google Play Store sebagai bagian dari strategi distribusi mereka. Tetapi ketika Google menjadi semakin mahir dalam menemukan dan memblokir penyelundup ini, para penyerang dipaksa untuk melakukan diversifikasi.
“Banyak diskusi sebelumnya adalah bahwa dengan malware Android ada banyak buah yang mudah digantung,” kata Stone. "Tapi Chamois menunjukkan kecanggihan yang harus kamu capai sekarang sebagai penyerang untuk menjadi 'sukses.' Itu adalah potongan kode yang dirancang dengan baik, aku harus memberi mereka itu, tetapi juga menakutkan bahwa di situlah letak malware saat ini."
Sebagian besar dari kemunculan kembali Chamois berasal dari pengembang aplikasi dan produsen perangkat Android yang tertipu untuk memasukkan kode Chamois ke dalam aplikasi mereka, dan bahkan perangkat lunak yang sudah diinstal sebelumnya. Para penyerang membuat situs web dan menjajakan Chamois kepada pihak ketiga ini sebagai kit pengembangan perangkat lunak iklan yang sah yang dapat menyediakan layanan distribusi iklan.
Google Play Protect, yang membantu menyingkirkan aplikasi Android palsu, semakin mampu mendeteksi ketika Chamois berjalan pada perangkat dan menonaktifkannya. Google juga baru-baru ini memperluas pemindaian kode yang sudah diinstal pada perangkat mitra, dan lebih lanjut mendorong pembuat perangkat untuk mengaudit kode pihak ketiga sebelum mengirim produk — dan tidak mengirimkan kode itu sama sekali jika mereka tidak yakin mereka dapat sepenuhnya memeriksanya.
Profesional yang Sempurna
Ketika mereka semakin mengenal Chamois selama bertahun-tahun, tim keamanan Android menyimpulkan bahwa fitur botnet yang paling terkenal adalah profesionalisme pengembangnya. Tim tersebut menemukan lusinan server perintah dan kontrol yang disusun dengan hati-hati untuk botnet, dan juga memperhatikan bahwa malware tersebut menyertakan mekanisme yang disebut "fitur flags" yang biasa digunakan dalam pengembangan perangkat lunak yang sah untuk mengaktifkan dan menonaktifkan fitur tertentu di berbagai belahan dunia. Terutama, para peneliti Android menemukan bahwa Chamois akan menjadi benar-benar lembam jika mendeteksi bahwa itu sedang berjalan di Cina. Stone menolak untuk menawarkan teori mengapa.
Pengembang Chamois juga bekerja untuk menjaga profil rendah, dan meluncurkan versi terbaru dari malware mereka ke perangkat yang terinfeksi. Mereka akan menguji pembaruan pada perangkat di wilayah geografis tertentu untuk mengonfirmasi bahwa kode baru berfungsi sebagaimana dimaksud sebelum mendorongnya lebih luas.
Baca Juga :
Google sekarang menggunakan kombinasi metode deteksi untuk mengawasi Chamois, termasuk bendera berbasis tanda tangan, penilaian pembelajaran mesin, dan analitik perilaku. Tim juga melakukan check-in bulanan dan triwulanan pada semua statistik Chamois sehingga mereka dapat dengan cepat menghentikan momentum baru yang didapat botnet. Dan Stone mengatakan bahwa tim keamanan Android masih memangkas sisa 1,8 juta infeksi. Tapi, seperti biasa, para pengembang Chamois terus melawan. Dalam setahun terakhir sejak infeksi pada Maret 2018, para peneliti telah melihat 14.000 sampel Chamois baru.
"Para aktor tidak berhenti atau melambat, kami hanya berusaha bermain lebih pintar dan benar-benar mencoba mendorong mereka kembali," kata Stone. "Mereka masih berusaha untuk mendapatkan tanah. Tapi kita sedang dalam fase pemeliharaan dan pemantauan sekarang, karena kita melihat penurunan konstan dengan langkah-langkah kita yang ada."
Tim Android berjanji untuk tetap waspada, mengetahui bahwa mungkin tidak ada yang lebih baik dari saingan Chamois mereka daripada bagi mereka untuk terbuai dalam rasa aman yang salah.
:strip_icc():format(jpeg)/kly-media-production/medias/2998955/original/042015100_1576584434-Doa_HL1.jpg)
