Pembuat Malware Bisa Kelabui Sistem Keamanan Baru di Android 13

Walau baru hitungan beberapa hari saja, pengembang malware Android telah menyesuaikan taktik mereka untuk melewati fitur keamanan di Android 13

oleh Yuslianson diperbarui 18 Agu 2022, 14:30 WIB
Mazar, malware yang mampu hapus data smartphone lewat SMS (Foto: PhoneArena)

Liputan6.com, Jakarta - Google baru meluncurkan Android 13 ke deretan ponsel Pixel buatan mereka pada 2 hari lalu atau lebih 16 September 2022.

Walau baru hitungan beberapa hari saja, pengembang malware Android telah menyesuaikan taktik mereka untuk melewati fitur keamanan "Restrited setting" atau "Pengaturan terbatas".

Informasi, fitur ini diperkenalkan Google bersamaan dengan peluncuran sistem operasi Android 13 dan dipublikasikannya source code tersebut di AOSP.

Sebagai bagian dari rilis ini, Google bekerja untuk menangkal malware yang mencoba mengaktifkan izin Android yang kuat, seperti AccessibilityService.

Dengan memanfaatkan hal ini, pelaku kejahatan dapat melakukan berbagai upaya berbahaya dan tanpa diketahui oleh pengguna tablet dan HP Android.

Mengutip laporan tim ThreatFabric, Kamis (18/8/2022), malware Android baru ini mampu melewati fitur ini dan mengirim kode khusus untuk mengaktifkan akses istimewa diperangkat korban.

Threat Fabric menemukan sebuah dropper baru bernama "BugDrop" saat ini sedang dalam pengembangan, setelah banyak kelemahan pada fase awalnya.

BugDrop ini ini menampilkan kode mirip dengan Brox, proyek tutorial pengembangan malware didistribusikan secara bebas dan beredar di forum peretas.

Perbedaannya, pelaku melakukan modifikasi terhadap satu string fungsi penginstal sehingga dapat mengelabui sistem keamanan baru di Android 13.

* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.


Malware Baru di Android 13

Android malware (ist.)

"Kami tertarik dengan keberadaan dalam kode Smali dari string 'com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED," jelas Threat Fabric dalam laporannya.

"String ini, yang tidak ada dalam kode Brox asli, sesuai dengan tindakan diperlukan dengan tujuan untuk membuat proses penginstalan berdasarkan sesi."

Adapun instalasi berbasis sesi digunakan untuk melakukan instalasi malware secara bertahap ke perangkat Android, dengan cara membagi APK menjadi bagian lebih kecil.

Dengan begitu, mereka akan memiliki mereka nama, kode versi, dan sertifikat penandatanganan yang identik.

Dengan cara ini, Android tidak akan melihat penginstalan payload sebagai sideloading APK, dan pembatasan Layanan Aksesibilitas Android 13 tidak akan berlaku.

 


Google Mulai Berantas Malware

Ilustrasi malware. Dok: threatpost.com

Di versi Android sebelumnya, sebagian besar malware masuk ke jutaan perangkat melalui aplikasi yang disamarkan sebagai aplikasi resmi di Play Store.

Selama instalasi, aplikasi malware meminta pengguna untuk memberikan akses lebih dan kemudian sideload (atau menjatuhkan) muatan berbahaya dengan menyalahgunakan hak aksesibilitas layanan.

Layanan Aksesibilitas adalah sistem bantuan disabilitas yang disalahgunakan, dan memungkinkan aplikasi melakukan gesekan dan ketukan, kembali atau kembali ke layar beranda. Semua ini dilakukan tanpa sepengetahuan atau izin pengguna.

Biasanya, malware menggunakan layanan untuk memberikan izin tambahan kepada dirinya sendiri dan menghentikan korban dari menghapus aplikasi berbahaya secara manual.

Di Android 13, tim keamanan Google memperkenalkan fitur 'Pengaturan terbatas' dimana memblokir aplikasi yang dipindahkan dari permintaan hak aksesibilitas layanan, membatasi fungsi ke APK dari Google Play.

Para peneliti di ThreatFabric mampu membuat penetes konsep yang dengan mudah melewati fitur keamanan baru ini untuk mendapatkan akses ke Layanan Aksesibilitas.

(Ysl/Tin)

Rekomendasi

POPULER

Berita Terkini Selengkapnya