Perangkat lunak perusak telah ditemukan terpasang pada 36 ponsel Android milik dua perusahaan, pembuat perangkat lunak keamanan Check Point melaporkan pada hari Jumat.
Perangkat Malware Ditemukan Terinstal di Puluhan Ponsel Android
“Dalam semua kasus, perangkat lunak perusak tidak diunduh ke perangkat sebagai hasil penggunaan pengguna – produk tersebut tiba bersamaan,” kata Oren Koriat, anggota Tim Riset Mobile Check Point.
Aplikasi berbahaya di telepon perusahaan telekomunikasi dan bisnis teknologi multinasional bukan bagian dari ROM resmi yang disediakan oleh vendor tersebut, jelasnya. Mereka ditambahkan di suatu tempat di sepanjang rantai pasokan.
Enam dari contoh malware ditambahkan oleh aktor jahat ke ROM perangkat dengan menggunakan hak istimewa sistem, yang berarti file tersebut tidak dapat dihapus oleh pengguna dan perangkat harus kembali berkedip, Koriat menambahkan.
Sebagian besar malware terinstal terdiri dari pencuri informasi dan jaringan iklan kasar, katanya. Termasuk dalam rangkaian perangkat lunak berbahaya adalah Slocker, program ransomware seluler yang mengenkripsi semua informasi pada perangkat dan menuntut pembayaran untuk mendekripsinya.
Malware Loki juga merupakan bagian dari mix. Ini tidak hanya menghasilkan pendapatan dengan menampilkan iklan palsu, namun juga mencuri data tentang perangkat dan dapat mengendalikannya.
Kerentanan Kustomisasi
“Sayangnya, ini tidak terduga atau bahkan pertama kali kita melihat jenis serangan rantai pasokan ini,” kata Mark Nunnikhoven, insinyur utama cloud dan teknologi baru di Trend Micro .
Jalan dari pembuat ke pengguna untuk ponsel Android pihak ketiga biasanya memerlukan empat langkah: Pertama, versi baru dari sistem operasi dilepaskan. Kemudian vendor telepon akan menguji dan menyesuaikan OS sebelum menyerahkannya ke carrier. Pengangkut juga akan menguji dan menyesuaikan telepon. Akhirnya, itu akan berakhir di tangan pengguna.
“Masalahnya adalah ketika telepon disesuaikan, perangkat lunak berbahaya atau adware dapat disuntikkan ke dalamnya,” kata Nunnikhoven. “Sepertinya ini yang terjadi di sini.”
Ada hukum keamanan komputer bahwa akses fisik selalu cukup bagi penyerang untuk mengendalikan perangkat, kata Craig Young, seorang peneliti keamanan senior di Tripwire .
“Itu berarti bahwa siapa pun yang memiliki akses fisik ke perangkat – baik penyusup atau orang dalam – dapat menghubungkan perangkat satu per satu ke komputer dan menginstal aplikasi berbahaya,” katanya.
Konsumen tidak berdaya
Serangan rantai pasokan seperti yang ditemukan oleh Check Point menimbulkan masalah serius bagi konsumen yang menerima telepon semacam itu.
“Dalam skenario seperti ini, satu-satunya metode untuk melindungi diri dari ancaman ini adalah dengan memindai telepon tepat di luar kotak,” kata Troy Gill, seorang analis keamanan senior di AppRiver .
“Tentu saja, ini adalah proposisi yang cukup mengganggu,” katanya, “tapi sayangnya satu-satunya solusi dalam kasus ini.”
Konsumen pada belas kasihan produsen dalam kasus seperti ini, kata Michael Patterson, CEO Plixer International .
“Ada harapan kepercayaan, yang dalam kasus ini rusak,” katanya kepada LinuxInsider.
“Mengingat situasi di mana malware dipasang sebagai bagian dari rantai pasokan, satu-satunya cara bagi konsumen untuk dilindungi adalah agar pabrikan mulai melakukan tes jaminan kualitas akhir produk sebelum dikirim ke konsumen,” saran Patterson.
Memburu Pengguna Ponsel
Karena Android adalah sistem operasi yang terbuka, maka bisa lebih rentan terhadap serangan malware daripada saingan utamanya, iOS milik Apple. Namun, keterbukaan Android bukan pelakunya dalam kasus ini, bantah Patterson.
“Dalam kasus ini, masalahnya adalah salah satu rantai pasokan yang korup,” katanya. “Ini bukan masalah apakah ada kerentanan inheren di Android – ini adalah masalah proses manufaktur yang mengecewakan konsumen.”
Sementara serangan ROM pada iPhone tidak mungkin, peretas telah menyerang rantai pasokan Apple dengan sukses. Salah satu forays yang paling penting adalah keracunan kit SDK yang digunakan oleh pengembang IOS China, yang menghasilkan aplikasi terdahulu yang diunggah ke App Store Apple.
Sertifikat perusahaan adalah rute lain yang digunakan oleh peretas untuk menyerang iOS, kata Tripwire’s Young.
“Perusahaan tidak bisa memasak ROM mereka sendiri untuk menjalankan iOS,” katanya, “dan semua kode yang ada di dalamnya perlu ditandatangani.”
Namun, Apple mengizinkan perusahaan untuk menerbitkan “sertifikat perusahaan”. Aplikasi dengan salah satu sertifikat tersebut akan diterima oleh iPhone seolah-olah telah diunduh dari App Store.
“Itu sudah biasa digunakan untuk menyebarkan malware,” kata Young.
Pengguna ponsel tidak akan pernah terlalu berhati-hati dalam melindungi ponsel mereka, kata Tom Kellermann, CEO Strategic Cyber Ventures .
“Konsumen harus menyadari bahwa mereka sedang diburu,” katanya.
“Ketika seseorang memasang perangkat mobile Anda, mereka menyerang kehidupan fisik Anda karena mereka dapat hadir di lingkungan sekitar Anda melalui mikrofon, kamera dan pengaturan lokasi,” kata Kellermann.
“Konsumen harus menerapkan keamanan mobile pada perangkat ini dan mematikan lokasi dan Bluetooth bila tidak menggunakan fungsi tersebut,” sarannya. “Jika dalam pengaturan yang sensitif, nyalakan mode pesawat terbang.”
