Sketsa News
Home Berita Terkini, News, Tekno-Sains Menyamar sebagai NSA, Ransomeware Android Chatting Minta Tebusan

Menyamar sebagai NSA, Ransomeware Android Chatting Minta Tebusan

Android ransomware menggunakan XMPP chatting untuk menghubungi remote-server, mengklaim itu dari NSA

Sebuah ransomware baru pada perangkat Android mengenkripsi semua data sehingga membuat pengguna tak berdaya dan menuntut uang sebagai “tebusan” menggunakan XMPP serta mengklaimnya dari NSA.

Ransomware adalah bentuk malware yang membatasi korban mengakses ke perangkat dan kemudian meminta uang untuk memperbaiki segalanya. Ini menyebar melalui trojan.

active-device-administrator-ransomeware-imageby-checkpoint-comTrojan adalah malware yang berpura-pura menjadi aplikasi yang berguna, akhirnya mengelabui pengguna dan mendapatkan izin install pada perangkat untuk mengeksekusi script berbahaya.

Ada varian baru yang mengelabui korban dengan nama Badan Keamanan Nasional (NSA-National Security Agency) Amerika Serikat. Versi terbaru dari Simplocker menyamar di toko aplikasi dan men-download halaman sebagai aplikasi yang sah, dan menggunakan instant messaging protokol terbuka untuk terhubung ke server perintah dan kontrol (c & c – command and control).

Malware meminta izin masuk ke sistem admin yang dapat mengendalikan Android. Setelah terinstal, malware ini mengumumkan dirinya kepada beberapa korban dan mengatakan kepada mereka, itu ditanam oleh NSA, sehingga untuk mendapatkan file mereka kembali, mereka harus membayar “tebusan.”

Ofer Caspi dari tim peneliti malware Check Point menulis dalam sebuah laporan yang diposting pekan ini bahwa tim memiliki “bukti bahwa pengguna telah membayar ratusan ribu dolar untuk mendapatkan file mereka” tidak terenkripsi “oleh varian baru ini. Dia memperkirakan bahwa jumlah perangkat yang terinfeksi sejauh ini dalam puluhan ribu, tapi mungkin jauh lebih tinggi.

Masalahnya terletak pada perangkat lunak yang tidak dapat dengan mudah dihapus setelah diinstal, dan karena file mengenkripsi tidak dapat dipulihkan tanpa itu. Korban tidak punya pilihan lain selain untuk membayar $ 500 agar mendapatkan file mereka yang didekripsi, atau untuk menghapus perangkat dan mulai dari awal.

Saat menyamar sebagai otoritas hukum atau pemerintah dan upaya mengintimidasi korban untuk meminta tebusan bukanlah hal yang baru. Penggunaan Extensible Messaging dan Presence Protocol (XMPP), protokol pesan instan yang digunakan oleh Jabber dan sebelumnya oleh GTalk, adalah pergeseran taktik untuk menghindari deteksi oleh alat anti-malware.

xmpp-android-malware-nsa-imageby-blog-checkpoint-com

Komunikasi XMPP membuat lebih sulit bagi alat-alat keamanan dan anti-malware untuk menangkap ransomware sebelum dapat berkomunikasi dengan komando dan kontrol jaringan karena menyembunyikan komunikasi dalam bentuk yang terlihat seperti komunikasi pesan instan normal.

Kebanyakan paket ransomware sebelumnya telah berkomunikasi dengan situs melaluiHTTPS untuk mendapatkan kunci enkripsi; situs-situs umumnya dapat diidentifikasi oleh URL mereka, alamat IP, atau tanda tangan digital (signature) dari permintaan Web mereka dan kemudian diblokir.

Aplikasi membuat permintaan koneksi aman via HTTPS untuk tujuan yang mencurigakan yang dikemas seolah-olah pertanda baik namun sesuatu yang buruk sedang terjadi.

Namun saluran komunikasi XMPP yang digunakan oleh Simplocker varian baru menggunakan pustaka Android eksternal untuk berkomunikasi dengan perintah dan kontrol jaringan melalui relay-server messaging yang sah. Dan pesan-pesan ini dapat dienkripsi menggunakan Transport Layer Security (TLS). Pesan dikirimkan dari komando dan kontrol jaringan oleh operator lewat Tor. (in/sketsanews.com)

Bacaan Lanjut :

 

%d blogger menyukai ini: