Eksploitasi Cloak and Dagger Android: Mencuri Kata Sandi dan Mencatat Keystrokes

Para peneliti di Institut Teknologi Georgia dan Universitas California, Santa Barbara, memiliki merilis laporan menyatakan beberapa kerentanan yang ditemukan dengan sistem operasi Android Lollipop, Marshmallow dan Nougat.

Menurut para peneliti, aplikasi jahat memiliki kemampuan untuk mengeksploitasi dua izin di Play Store - 'draw on top' dan 'layanan aksesibilitas'.

Pengguna mungkin diserang menggunakan salah satu dari kerentanan ini atau keduanya. Penyerang dapat melakukan clickjack, merekam penekanan tombol, mencuri PIN keamanan perangkat, memasukkan adware ke dalam perangkat, dan juga mengukus token otentikasi dua faktor.

Baca juga: 5 Tips Mencegah Perangkat Android Anda Terkena Ransomware.

“Cloak & Dagger adalah kelas baru dari potensi serangan yang mempengaruhi perangkat Android. Serangan-serangan ini memungkinkan aplikasi jahat untuk sepenuhnya mengontrol loop umpan balik UI dan mengambil alih perangkat, tanpa memberi pengguna kesempatan untuk melihat aktivitas jahat tersebut,” catat para peneliti.

Kerentanan Ini Telah Terungkap Sebelumnya Juga

Awal bulan ini, kami telah melaporkan tentang kerentanan serupa yang tidak diperbaiki di sistem operasi Android yang akan menggunakan izin 'System_Alert_Window' yang digunakan untuk 'menggambar di atas'.

Sebelumnya, izin ini — System_Alert_Window — harus diberikan secara manual oleh pengguna, tetapi dengan munculnya aplikasi seperti Facebook Messenger dan lainnya yang menggunakan pop-up di layar, Google memberikannya dengan bawaan.

Meskipun kerentanan, jika dieksploitasi, dapat menyebabkan serangan ransomware atau adware lengkap, tidak akan mudah bagi peretas untuk memulai.

Izin ini bertanggung jawab atas 74% dari ransomware, 57% adware dan 14% serangan malware bankir di perangkat Android.

Semua aplikasi yang Anda unduh dari Play Store dipindai untuk mencari kode dan makro berbahaya. Jadi, penyerang harus mengelak Sistem keamanan bawaan Google untuk mendapatkan masuk ke app store.

Google baru-baru ini juga memperbarui sistem operasi selulernya dengan lapisan keamanan tambahan yang memindai semua aplikasi yang sedang diunduh ke perangkat melalui Play Store.

Apakah Menggunakan Android Aman Saat Ini?

Aplikasi berbahaya yang diunduh dari Play Store mendapatkan dua izin yang disebutkan di atas secara otomatis, yang memungkinkan penyerang merusak perangkat Anda dengan cara berikut:

• Serangan Grid Tak Terlihat: Penyerang menarik overlay tak terlihat ke perangkat, memungkinkan mereka untuk mencatat penekanan tombol.
• Mencuri PIN perangkat dan mengoperasikannya di latar belakang bahkan saat layar dimatikan.
• Menyuntikkan adware ke dalam perangkat.
• Menjelajahi web dan phishing secara diam-diam.

Para peneliti menghubungi Google tentang kerentanan yang ditemukan dan telah mengkonfirmasi bahwa meskipun perusahaan telah menerapkan perbaikan, mereka tidak terbukti bodoh.

Pembaruan menonaktifkan overlay, yang mencegah serangan grid yang tidak terlihat, tetapi Clickjacking masih dimungkinkan karena izin ini dapat dibuka oleh aplikasi jahat menggunakan metode membuka kunci ponsel bahkan saat layar diputar mati.

Keyboard Google juga telah menerima pembaruan yang tidak mencegah pencatatan penekanan tombol tetapi memastikan bahwa kata sandi tidak bocor karena setiap kali memasukkan nilai ke dalam bidang kata sandi, sekarang keyboard mencatat kata sandi sebagai 'titik' alih-alih yang sebenarnya karakter.

Tapi ada jalan keluarnya juga yang bisa dimanfaatkan oleh para penyerang.

“Karena dimungkinkan untuk menghitung widget dan kode hashnya yang dirancang untuk menjadi unik semu, kode hash cukup untuk menentukan tombol keyboard mana yang benar-benar diklik oleh pengguna,” para peneliti menunjukkan.

Baca juga: 13 Fitur Keren Android Mendatang Diluncurkan oleh Google.

Semua kerentanan yang ditemukan penelitian masih rentan terhadap serangan meskipun versi terbaru Android menerima patch keamanan pada 5 Mei.

Para peneliti mengirimkan aplikasi ke Google Play Store yang membutuhkan dua yang disebutkan di atas izin dan jelas menunjukkan niat jahat, tetapi disetujui dan masih tersedia di Play Toko. Ini menunjukkan bahwa keamanan Play Store tidak benar-benar berfungsi dengan baik.

Apa Taruhan Terbaik untuk Tetap Aman?

Memeriksa dan menonaktifkan kedua izin ini secara manual untuk aplikasi tidak tepercaya yang memiliki akses ke salah satu atau keduanya adalah pilihan terbaik

Ini adalah bagaimana Anda dapat memeriksa aplikasi mana yang memiliki akses ke dua izin 'khusus' ini di perangkat Anda.

• Android Nougat: “gambar di atas” – Pengaturan -> Aplikasi -> ‘Simbol roda gigi (kanan atas) -> Akses khusus -> Gambar di atas aplikasi lain
  'a11y': Pengaturan -> Aksesibilitas -> Layanan: periksa aplikasi mana yang memerlukan a11y.
• Android Marshmallow: “gambar di atas” – Pengaturan -> Aplikasi -> “Simbol roda gigi” (kanan atas) -> Gambar di atas aplikasi lain.
  a11y: Pengaturan → Aksesibilitas → Layanan: periksa aplikasi mana yang memerlukan a11y.
• Android Lolipop:"gambar di atas" – Pengaturan -> Aplikasi -> klik pada masing-masing aplikasi dan cari "gambar di atas aplikasi lain"
  a11y: Pengaturan -> Aksesibilitas -> Layanan: periksa aplikasi mana yang memerlukan a11y.

Google akan memberikan pembaruan keamanan lebih lanjut untuk menyelesaikan masalah yang ditemukan oleh para peneliti.

Baca juga: Inilah Cara Menghapus Ransomware Dari Ponsel Anda.

Sementara beberapa kerentanan ini akan diperbaiki dengan pembaruan berikut, masalah seputar izin 'draw on top' tetap ada hingga Android O dirilis.

Risiko keamanan di internet tumbuh dalam skala besar dan saat ini, satu-satunya cara untuk melindungi perangkat Anda adalah dengan menginstal perangkat lunak antivirus tepercaya dan menjadi seorang main hakim sendiri.

Terakhir diperbarui pada 03 Februari 2022

Artikel di atas mungkin berisi tautan afiliasi yang membantu mendukung Guiding Tech. Namun, itu tidak mempengaruhi integritas editorial kami. Konten tetap tidak bias dan otentik.