HIMBAUAN KEAMANAN

WASPADA MALWARE COVIDLOCK

Ringkasan
1. Dengan meningkatnya isu wabah Covid-19 hal ini dimanfaatkan oleh
threat actor dengan menyebarkan aplikasi terkait utilitas Covid-19 namun
telah ditambahkan fungsi malicious. Salah satunya melalui aplikasi mobile
bernama Corona Virus Tracker yang diunduh melalui domain
coronavirusapp[.]site
2. Aplikasi Corona Virus Tracker berfungsi sebagai aplikasi tracking area
yang terdampak Covid-19. Ketika setelah di instal, aplikasi akan meminta
permission antara lain yaitu lockscreen dan ignore battery optimization.
Ignore Battery Optimization digunakan sebagai metode persistence
dengan mengabaikan kondisi baterai yang lemah untuk mematikan
aplikasi. Permission lockscreen digunakan threat actor untuk mengenkripsi
perangkat korban, ketika aplikasi telah berhasil di instal.
3. Aplikasi Corona Tracker termasuk ke dalam mobile ransomware dengan
kunci offline. Kunci dekripsi dapat ditemukan di dalam baris kode aplikasi
(hard encoded) yaitu 4865083501.

Analisis
Latar Belakang
Domain situs coronavirusapp[.]site adalah sebuah situs yang awalnya
berisi data mengenai penyebaran virus Corona yang mana data ini diambil
langsung dari infection2020[.]com (situs web dari pengembang independen
untuk melacak berita COVID-19 yang berbasis di AS). Halaman utama dari
website coronavirusapp[.]stite dapat dilihat pada Gambar 1, dan spanduk
kecil di bagian atas website bertujuan untuk yang mendorong orang yang
melihat untuk memasangkan aplikasi mobile dari website ini agar
pembaruan data lebih realtime.
Kemudian jika dilihat dari informasi domain yang didapatkan, domain
situs coronavirusapp[.]site awalnya terdaftar pada 8 Maret 2020
menggunakan pengaturan privasi domain untuk mengaburkan detail dari
Halaman 2 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
identitas pendaftar. Situs ini di-hosting oleh Wrathost, sebuah penyedia
hosting dengan biaya murah. Sehingga domain tersebut berada pada range
alamat IP dengan lebih dari 100 domain lain yang tidak terkait. Namun dilihat
lihat sertifikat SSLnya, situs ini menggunakan sertifikat SSL dari Let’s Encrypt.
Ketika dilihat pada Let’s Encrypt SSL, didapatkan bahwa domain ini juga
berhubungan dengan satu domain lain yang juga meng-hosting aplikasi
Android berbahaya, yaitu coronavirusapp[.]dating4sex [.]us.

Gambar 1. Halaman Utama coronavirusapp[.]site

Nama aplikasi mobile yang dapat diunduh dari website ini adalah
“Coronavirus_Tracker.apk“. Aplikasi ini merupakan aplikasi yang ditujukan
kepada pengguna mobile Android. Aplikasi Android tersebut kemudian
dilakukan analisis Statik dan Dinamik untuk mengetahui karakteristik dan
jenis malware yang disisipkan pada Aplikasi tersebut.
Analisis Statik
Berdasasarkan analisa statik didapatkan detail aplikasi yang ditujukan
pada Tabel 1.
Tabel 1. Detail Aplikasi Android
Variabel Value
Nama Coronavirus_Tracker.apk
Nama Aplikasi Coronavirus Tracker
Nilah Hash d1d417235616e4a05096319bb4875f57
Halaman 3 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Variabel Value
Ukuran (Byte) 15653041
Nama pakage Com.device.security
Target Versi Android Min: Android 4.4 (kitkat) Max: Android 10 (Q)

Kemudian dilihat dari permission yang ada pada aplikasi ini didapatkan
3 buah permission yang dapat dilihat pada Gambar 2.

Gambar 2. Daftar permission Aplikasi Corona Virus Tracker

Dari Gambar 2 didapatkan bahwa aplikasi ini dapat aktif secara otomatis
ketika Android selesai booting. Ini memungkinkan aplikasi untuk persistent,
sehingga pengguna tidak sadar ketika aplikasi ini sudah berjalan. Kondisi ini
tercantum pada MITRE ATT&CK mobile framework yang dikenal sebagai
Teknik ‘T1402’1. Aplikasi ini dapat menghiraukan aplikasi optimasisi baterai
yang mana aplikasi optimasi baterai berkerja untuk me-non-aktifkan aplikasi-
aplikasi yang menghabiskan daya baterai.
Berdasarkan dari API yang digunakan pada aplikasi ini, terdapat 5 API
dan 9 file yang digunakan, sebagaimana ada pada Gambar 3.

1
https://attack.mitre.org/techniques/T1402/
Halaman 4 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Gambar 3. Daftar API dan File Aplikasi Coronavirus Tracker

Dari Gambar 3, terdapat file activity yang mencurigakan yaitu

“BlockedAppActivity.java” yang aktif hampir di semua API, kecuali Local File
I/O Operations. Jika menilik dari activity utama (MainActivity.java) didapatkan
fungsi-fungsi yang janggal jika fungsi ini terdapat pada sebuah aplikasi
monitoring persebaran Virus Covid-19. Fungsi tersebut diperlihatkan pada
Gambar 4.

Gambar 4. Fungsi pada MainActivity.java

Dari Gambar 4, didapatkan bahwa terdapat permintaan untuk

pengaturan aksesibilitas, menjadi admin dari perangkat (script
android.app.action.ADD_DEVICE_ADMIN), dan mengatur password (script
android.app.action.SET_NEW_PASSWORD). Pengaturan ulang password
dimungkinkan untuk mengatur password lock perangkat. Sehingga ketika
password berhasil diatur, perangkat akan ter-lock. Fungsi-fungsi ini
merupakan sebuah upaya untuk privilege escalation aplikasi tersebut,
sehingga ketika pengguna memberi izin pada permintaan tersebut, maka
aplikasi ini dapat mengontrol perangkat mobile secara penuh. Jelas bahwa
fungsi ini termasuk fungsi yang malicious.
Kemudian dilihat pada activity “BlockedAppActivity.java” didapatkan
beberapa fungsi-fungsi seperti diperlihatkan pada Gambar 5.

Halaman 5 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Gambar 5. Fungsi pada BlockedAppActivity.java

Dari Gambar 5 didapatkan, bahwa terdapat sebuah perintah untuk

memasukkan kode dekripsi dan didapatkan bahwa kode dekripsinya adalah
“4865083501”, ini menunjukkan bahwa aplikasi meminta korban untuk
memasukkan kode yang akan mendekripsi perangkat. Fungsi lain yang
mencurigakan menunjuk ke sebuah website yaitu
“hxxps://qmjy6.bemobtracks[.]com/go/4286a004-62c6-43fb-a614-
d90b58f133e5 yang mana setelah dilakukan penelusuran didapatkan bahwa
dialihkan ke URL “hxxps://pastebin[.]com/GK8qrfaC” yang mana isinya
ditunjukkan pada Gambar 6.

Gambar 6. Tampilan pada URL hxxps://pastebin[.]com/GK8qrfaC

Halaman 6 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Dari hasil statik analisis disimpulkan bahwa aplikasi ini merupakan
malware yang tergolong pada mobile Ransomware. Dimana ketika aplikasi
ini dijalankan, maka aplikasi akan meminta izin untuk mengontrol perangkat
dan kemudian mengenkripsi perangkat. Kemudian penyerang akan
meminta pengguna untuk membayar kepada penyerang dan pengguna
akan mendapatkan kode untuk mendekripsi perangkatnya.
Analisis Dinamik
Ketika akan dilakukan instalasi, dari aplikasi ini diberitahukan bahwa
ketika aplikasi berhasil menjadi administrator maka aplikasi ini dapat
mengunci layar dan melakukan enkripsi pada penyimpanan seperti terlihat
pada Gambar 7.

Gambar 7. Notifikasi Instalasi Aplikasi Coronavirus Tracker

Kemudian ketika aplikasi dibuka, maka aplikasi akan meminta izin untuk
dapat melakukan pengaturan aksesibilitas dan mengakses lock screen
sebagaimana terlihat pada Gambar 8.

Gambar 8. Halaman Utama Aplikasi Coronavirus Tracker

Halaman 7 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Jika kedua izin diberikan, maka selanjutnya aplikasi Coronavirus Tracker
akan hilang dari menu Android dan akan menjadi aplikasi sistem yang tidak
dapat dihapus maupun diubah sebagaimana tertampil pada Gambar 9.

Gambar 9. Tampilan Informasi Aplikasi Coronavirus Tracker

Aplikasi ini kemudian memunculkan bahwa perangkat sudah terenkripsi

dengan memunculkan tampilan seperti pada Gambar 10.

Gambar 10. Tampilan Notifikasi Perangkat sudah terenkripsi

Record Penyerang

Halaman 8 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 Berdasarkan Gambar 6, didapatkan bahwa penyerang memiliki alamat
dompet bitcoin “18SykfkAPEhoxtBVGgvSLHvC6Lz8bxm3rU”. Setelah
ditelusuri didapatkankah bahwa alamat tersebut belum terdapat transaksi
hingga saat ini sebagaimana tertampil pada Gambar 11.

Gambar 11. Dompet Bitcoin Penyerang

Kemudian juga didapatkan alamat email penyerang yaitu
“phc859mgge638@inbox[.]ru”.

Kesimpulan
Dari hasil analisis statik maupun dinamik dapat disimpulkan bahwa
aplikasi Coronavirus Tracker ini adalah malware yang tergolong pada
Ransomeware. Ini dibuktikan dengan adanya percobaan aplikasi untuk
melakukan priviliedge escalation yang kemudian melakukan lock/enkripsi
pada perangkat. Sampai saat ini malware ini dinamakan CovidLock.

Indicator of Compromise (IoC)

Tabel 2 merupakan daftar IoC dari mobile malware CovidLock
Tabel 2. IoC Mobile Malware CovidLock
Tipe IOC IOC
Domain coronavirusapp[.]site
Domain dating4sex[.]us
Domain dating4free[.]us
Domain perfectdating[.]us
Domain redditdating[.]us
URL - Ransomware https://pastebin[.]com/zg6rz6qT
Note 1
URL - Ransomware https://pastebin[.]com/GK8qrfaC
Note 2
APK 1 - MD5 69a6b43b5f63030938c578eec05993eb
APK 2 – MD5 d1d417235616e4a05096319bb4875f57
APK 1 - SHA256 c844992d3f4eecb5369533ff96d7de6a05b19fe5f58
09ceb1546a3f801654890
Halaman 9 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas
 APK 2 -SHA256 6b74febe8a8cc8f4189eccc891bdfccebbc57580675
af67b1b6f268f52adad9f
Email Address phc859mgge638@inbox[.]ru

MITTRE AT&CK Vektor

Teknik TID URL
Drive-By T1456 https://attack.mitre.org/techniques/T1456/
Compromise T1
App Auto Start T140 https://attack.mitre.org/techniques/T1402/
Device Boot
Device Lockout T1446 https://attack.mitre.org/techniques/T1446/

Rekomendasi
Untuk mencegah maupun mengatasi terinfeksinya mobile malware
CovidLock dapat dilakukan beberapa hal sebagai berikut:
1. Hindari mengunjungi situs yang tidak diketahui reputasinya serta selalu
waspada untuk tidak mengklik tautan dari sumber yang tidak dapat
diverifikasi kebenarannya.
2. Pastikan hanya menginstall aplikasi android yang sudah terverifikasi
(melalui PlayStore) dan perhatikan track record dari pengembang
sebelum melakukan instalasi aplikasi.
3. Pastikan perangkat mobile anda dilengkapi dengan antivirus dengan
definisi yang termutakhir (up-to-date).
4. Periksa terlebih dahulu mengenai keabsahan aplikasi mobile yang akan
diinstalasi ke perangkat anda, pastikan sudah di scan dengan AntiVirus
atau sudah diperiksa pada database malware (misal VirusTotal) untuk
dicek signature-nya.
5. Memerhatikan permission yang akan diinstall, pastikan permission sesuai
dengan fungsi Aplikasi tersebut.

Riwayat Dokumen
1. Versi 1.0 : 20 Maret 2020

Dokumen ini ditanda tangani secara elektronik

oleh

ADI NUGROHO, S.ST, S.KOM

Kepala Bidang Tata Kelola, Pusat Operasi
Keamanan Siber Nasional
Badan Siber dan Sandi Negara

Halaman 10 dari 10

Disclosure is not limited.

Dokumen/Informasi ini dapat disebarkan secara bebas