Laporan - Analisis - CovidLock - Rev 3 - Sign PDF
Laporan - Analisis - CovidLock - Rev 3 - Sign PDF
Ringkasan
1. Dengan meningkatnya isu wabah Covid-19 hal ini dimanfaatkan oleh
threat actor dengan menyebarkan aplikasi terkait utilitas Covid-19 namun
telah ditambahkan fungsi malicious. Salah satunya melalui aplikasi mobile
bernama Corona Virus Tracker yang diunduh melalui domain
coronavirusapp[.]site
2. Aplikasi Corona Virus Tracker berfungsi sebagai aplikasi tracking area
yang terdampak Covid-19. Ketika setelah di instal, aplikasi akan meminta
permission antara lain yaitu lockscreen dan ignore battery optimization.
Ignore Battery Optimization digunakan sebagai metode persistence
dengan mengabaikan kondisi baterai yang lemah untuk mematikan
aplikasi. Permission lockscreen digunakan threat actor untuk mengenkripsi
perangkat korban, ketika aplikasi telah berhasil di instal.
3. Aplikasi Corona Tracker termasuk ke dalam mobile ransomware dengan
kunci offline. Kunci dekripsi dapat ditemukan di dalam baris kode aplikasi
(hard encoded) yaitu 4865083501.
Analisis
Latar Belakang
Domain situs coronavirusapp[.]site adalah sebuah situs yang awalnya
berisi data mengenai penyebaran virus Corona yang mana data ini diambil
langsung dari infection2020[.]com (situs web dari pengembang independen
untuk melacak berita COVID-19 yang berbasis di AS). Halaman utama dari
website coronavirusapp[.]stite dapat dilihat pada Gambar 1, dan spanduk
kecil di bagian atas website bertujuan untuk yang mendorong orang yang
melihat untuk memasangkan aplikasi mobile dari website ini agar
pembaruan data lebih realtime.
Kemudian jika dilihat dari informasi domain yang didapatkan, domain
situs coronavirusapp[.]site awalnya terdaftar pada 8 Maret 2020
menggunakan pengaturan privasi domain untuk mengaburkan detail dari
Halaman 2 dari 10
Nama aplikasi mobile yang dapat diunduh dari website ini adalah
“Coronavirus_Tracker.apk“. Aplikasi ini merupakan aplikasi yang ditujukan
kepada pengguna mobile Android. Aplikasi Android tersebut kemudian
dilakukan analisis Statik dan Dinamik untuk mengetahui karakteristik dan
jenis malware yang disisipkan pada Aplikasi tersebut.
Analisis Statik
Berdasasarkan analisa statik didapatkan detail aplikasi yang ditujukan
pada Tabel 1.
Tabel 1. Detail Aplikasi Android
Variabel Value
Nama Coronavirus_Tracker.apk
Nama Aplikasi Coronavirus Tracker
Nilah Hash d1d417235616e4a05096319bb4875f57
Halaman 3 dari 10
Kemudian dilihat dari permission yang ada pada aplikasi ini didapatkan
3 buah permission yang dapat dilihat pada Gambar 2.
Dari Gambar 2 didapatkan bahwa aplikasi ini dapat aktif secara otomatis
ketika Android selesai booting. Ini memungkinkan aplikasi untuk persistent,
sehingga pengguna tidak sadar ketika aplikasi ini sudah berjalan. Kondisi ini
tercantum pada MITRE ATT&CK mobile framework yang dikenal sebagai
Teknik ‘T1402’1. Aplikasi ini dapat menghiraukan aplikasi optimasisi baterai
yang mana aplikasi optimasi baterai berkerja untuk me-non-aktifkan aplikasi-
aplikasi yang menghabiskan daya baterai.
Berdasarkan dari API yang digunakan pada aplikasi ini, terdapat 5 API
dan 9 file yang digunakan, sebagaimana ada pada Gambar 3.
1
https://attack.mitre.org/techniques/T1402/
Halaman 4 dari 10
Halaman 5 dari 10
Halaman 6 dari 10
Kemudian ketika aplikasi dibuka, maka aplikasi akan meminta izin untuk
dapat melakukan pengaturan aksesibilitas dan mengakses lock screen
sebagaimana terlihat pada Gambar 8.
Halaman 7 dari 10
Record Penyerang
Halaman 8 dari 10
Kesimpulan
Dari hasil analisis statik maupun dinamik dapat disimpulkan bahwa
aplikasi Coronavirus Tracker ini adalah malware yang tergolong pada
Ransomeware. Ini dibuktikan dengan adanya percobaan aplikasi untuk
melakukan priviliedge escalation yang kemudian melakukan lock/enkripsi
pada perangkat. Sampai saat ini malware ini dinamakan CovidLock.
Rekomendasi
Untuk mencegah maupun mengatasi terinfeksinya mobile malware
CovidLock dapat dilakukan beberapa hal sebagai berikut:
1. Hindari mengunjungi situs yang tidak diketahui reputasinya serta selalu
waspada untuk tidak mengklik tautan dari sumber yang tidak dapat
diverifikasi kebenarannya.
2. Pastikan hanya menginstall aplikasi android yang sudah terverifikasi
(melalui PlayStore) dan perhatikan track record dari pengembang
sebelum melakukan instalasi aplikasi.
3. Pastikan perangkat mobile anda dilengkapi dengan antivirus dengan
definisi yang termutakhir (up-to-date).
4. Periksa terlebih dahulu mengenai keabsahan aplikasi mobile yang akan
diinstalasi ke perangkat anda, pastikan sudah di scan dengan AntiVirus
atau sudah diperiksa pada database malware (misal VirusTotal) untuk
dicek signature-nya.
5. Memerhatikan permission yang akan diinstall, pastikan permission sesuai
dengan fungsi Aplikasi tersebut.
Riwayat Dokumen
1. Versi 1.0 : 20 Maret 2020
Halaman 10 dari 10