MitB (Malware in the Box)

09 September 2015
MitB (Malware in the Box)
Pre-Installed Malware di HP Baru, Mau?
Malware in the Box (MitB), yang sudah terinstal dari awal pada HP baru dibuka dari Box ditemukan oleh ahli sekuriti G Data pada tahun 2014. Setelah saat itu, makin banyak model yang ditemukan mengandung malware. Lebih gilanya lagi, bahkan ditemukan bukti bahwa malware bahkan terinstal di firmware / perangkat tegar. Firmware adalah sistem memori / program tetap pada perangkat yang pertama kali diakses saat smartphone di hidupkan, biasanya berukuran agak kecil dan memiliki hubungan kontrol langsung dengan perangkat keras. Pada umumnya pengguna tidak memiliki akses untuk mengubah data firmware karena salah mengubah firmware beresiko tinggi akan mengakibatkan perangkat tidak berfungsi. Sebagai gambaran, pada PC, BIOS ditempatkan pada firmware dan BIOS ini sangat jarang dirubah / update kecuali dalam kasus khusus seperti adanya celah keamanan atau alasan lainnya.
Menurut perkiraan dari analis sekuriti G Data, kemungkinan bukan pabrikan pemegang merek yang berada di belakang instalasi malware ini karena resiko reputasi yang mereka tanggung akan terlalu besar jika menyebarkan malware di formware dan diperkirakan perantara antara pabrikan dan jalur akhir distribusi yang melakukan hal ini. Tujuannya adalah selain untuk mendapatkan keuntungan tambahan dari data pengguna smartphone dan iklan yang dipaksakan.

Bagaimana Malware Disembunyikan?
Pada kasus yang dianalisa, malware biasanya disembunyikan pada aplikasi populer yang diakui namun akan mengandung tambahan malware sebagai Add-on. Malware akan bersembunyi pada fungsi aplikasi normal. Korbannya tidak akan menyadari hal ini karena mayoritas proses ini berjalan di latar belakang.
Jika anda bertanya-tanya aplikasi populer apa yang dimanipulasi oleh malware, salah satu contohnya adalah Facebook (lihat gambar 1)
Gambar 1, Aplikasi populer yang menjadi sasaran manipulasi

App Facebook yang ditumpangi malware akan berjalan seperti biasa dan tidak berbeda dengan App  aslinya, tetapi malware akan menambahkan fungsi yang memungkinkan pihak ketiga mengakses seluruh perangkat tanpa sepengetahuan pemilik perangkat. Hal ini dimungkinkan karena persetujuan akses sudah diberikan oleh pemilik perangkat pada saat pertama kali mengaktifkan perangkat.
Korban hanya akan menyadari jika ia dilindungi oleh perlindungan malware yang mampu mengenali malware ini seperti G Data Internet Security for Android (lihat gambar 2).
Gambar 2, G Data Internet Security for Android

G Data Internet Security for Android akan mendeteksi malware ini sebagai Android. Trojan.Andup.D. Kabar buruknya, membasmi aplikasi ini kerap tidak mudah karena app ini dimasukkan ke dalam firmware yang jika dirubah akan mengakibatkan perangkat tidak berfungsi dan satu-satunya cara untuk membersihkan hal ini adalah mengganti firmware yang terinfeksi.

Hak yang dimiliki oleh add-on jahat ini sangat luas, dari mengakses internet, membaca dan mengirimkan SMS, menginstalkan app baru, mengakses data telepon dan semua data smartphone. Hak ini akan memungkinkan add-on ini melakukan hal-hal yang sangat merugikan pengguna smartphone seperti :
  • Deteksi lokasi (GPS).
  • Menguping dan merekam pembicaraan telepon.
  • Melakukan pembelanjaan online.
  • Melakukan kejahatan perbankan.
Kemungkinan dari hak yang sangat besar di atas sangat luas dan tidak terbayangkan. Pada semua varian yang di analisa oleh spesialis G Data, aplikasi jahat tersebut tidak diprogram dengan baik dan mengandung sangat banyak celah keamanan. Sebagai contoh, data sensitif yang di dapatkan tidak dienkrip dengan baik dan dikirimkan begitu saja. Kalaupun di enkrip akan dengan mudah dipecahkan karena metode enkripsi yang lemah. Hal ini lagi-lagi lebih meningkatkan bahaya bagi pemilik smartphone karena hacker yang mengetahui hal ini akan dapat mencuri data atau mengambil alih malware ini.
Contoh lainnya adalah malware ini tidak melakukan pengecekan yang baik terhadap server yang dituju dalam mengirimkan data yang berhasil dikumpulkannya dan hal ini memungkinkan pencurian data dengan metode Man in The Middle Attack.

Perangkat yang terinfeksi
Adapun perangkat yang teridentifikasi mengandung malware berdasarkan data yang dikumpulkan dari G Data Internet Security for Android adalah :
  • X****i MI3
  • H****i G510
  • L****o S860
  • A**s A24
  • A*****d P8
  • C******e SmartPhone 6500
  • D*C t*******k
  • I****H
  • S****N N9500
  • X**o X111
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: