Tekno Kediri – Keamanan Google Play Rawan – Para peneliti di perusahaan analisis ancaman ThreatFabric telah menerbitkan laporan yang merinci beberapa evolusi terbaru dalam dropper malware Android di Google Play Store. Perubahan terbaru pada kebijakan Google Play yang membatasi akses ke izin tertentu telah mendorong pengembang perangkat lunak perusak untuk menemukan solusi. Google terus bekerja untuk mendeteksi aplikasi berbahaya dan mencegahnya muncul di toko aplikasinya di mana pengguna yang tidak curiga dapat menginstalnya dan tanpa sadar menginfeksi perangkat mereka sendiri. Namun, pengembang malware yang licik terus mengembangkan cara baru untuk menyelundupkan aplikasi berbahaya ke toko aplikasi resmi.
Salah satu metode mapan untuk mencapai tujuan ini adalah penggunaan malware droppers, yaitu aplikasi yang berisi sangat sedikit kode berbahaya saat pertama kali diinstal. Droppers biasanya menyamar sebagai aplikasi yang sah dengan fitur yang berguna dan sering menawarkan setidaknya beberapa fungsi yang diiklankan. Namun, setelah diinstal, penetes malware mengunduh dan menginstal muatan berbahaya. Karena dropper itu sendiri tidak mengandung sebagian besar kode berbahaya, tetapi mengunduhnya dari sumber eksternal, lebih sulit untuk mendeteksi dropper sebagai berbahaya. Awal minggu ini, kami menulis tentang keluarga ekstensi di toko Web Chrome yang menggunakan taktik serupa dengan penetes malware Android, mengunduh dan memuat serangkaian skrip berbahaya dari halaman web kosong.
Dropper malware Android cenderung menggunakan izin REQUEST_INSTALL_PACKAGES, yang memungkinkan aplikasi mengeluarkan perintah yang meminta pengguna untuk memberi aplikasi kemampuan untuk menginstal paket. Dropper malware menyalahgunakan izin ini untuk mendapatkan kemampuan memuat muatan berbahaya dari samping. Namun, pada bulan Mei tahun ini, Google mengumumkan perubahan yang akan datang pada kebijakan Google Play-nya, membatasi akses ke izin ini. Perubahan itu mulai berlaku pada akhir September dan mengharuskan pengiriman, penerimaan, dan pemasangan paket harus menjadi bagian dari fungsionalitas inti aplikasi untuk mengakses izin REQUEST_INSTALL_PACKAGES.
Keamanan Google Play penuh Malware
Kebijakan baru ini dimaksudkan untuk mencegah penetes malware menyalahgunakan izin ini dengan membatasi akses ke izin untuk aplikasi eksklusif seperti browser web, pengelola file, dan toko aplikasi khusus. Namun, pengembang malware tampaknya telah menemukan setidaknya dua cara berbeda untuk mengatasi pembatasan ini. ThreatFabric menemukan yang pertama dari dua teknik ini berperan dalam penetes malware Sharkbot .
Alih-alih mencoba menginstal muatan Sharkbot itu sendiri, penetes malware malah membuka halaman web di browser web default pengguna. Halaman web ini dirancang agar terlihat seperti Google Play Store dan menampilkan pembaruan palsu ke aplikasi penetes. Karena browser web masih dapat mengakses izin REQUEST_INSTALL_PACKAGES di bawah kebijakan Play Store yang baru, browser web dapat mengunduh dan menginstal “pembaruan” ke arah pengguna yang tidak curiga. Pengguna yang melakukan proses pembaruan ini hingga selesai tanpa disadari telah menginfeksi perangkat mereka dengan malware Sharkbot.
ThreatFabric juga menemukan solusi kedua yang digunakan oleh penetes Sharkbot yang berbeda dan penetes untuk malware Vultur . Di bawah kebijakan Play Store yang baru, pengelola file masih diizinkan untuk mengakses izin REQUEST_INSTALL_PACKAGES, dan pengembang malware dapat memanfaatkan tunjangan ini dengan membuat dropper malware yang menyamar sebagai aplikasi pengelola file yang sah. Aplikasi pengelola file berbahaya ini kemudian dapat menampilkan layar pembaruan palsu dan secara langsung meminta kemampuan untuk menginstal paket. Jika pengguna memberikan kemampuan ini kepada penetes malware, mereka dapat segera menginstal muatan berbahaya.
Pengguna Android harus selalu ragu untuk memberikan aplikasi kemampuan untuk menginstal paket. Sebagai aturan umum, pengaturan ini harus diaktifkan hanya untuk toko aplikasi khusus yang tepercaya. Pengguna juga harus menyadari bahwa Google Play Store yang sebenarnya tidak akan pernah meminta akses ke kemampuan ini, karena diberikan secara default.
