(Jurnal Teknologi Informasi) Vol.4, No.

2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

ANALISIS DAN DETEKSI MALWARE DENGAN METODE HYBRID

ANALYSIS MENGGUNAKAN FRAMEWORK MOBSF

Edward Tansen, Deris Wahyu Nurdiarto

Program Studi Teknik Komputer, Universitas Amikom Yogyakarta

Jl. Ring Road Utara, Ngringin, Condongcatur, Kec. Depok, Kabupaten Sleman, Daerah Istimewa Yogyakarta
[email protected], [email protected]

Abstract - The increase in the popularity of smartphones is followed by an increase in the number of
users each year. In this case, smartphones with the Android platform are still ranked number one in
the percentage of the highest number of users in the world. This fact is also followed by an increasing
number of attacks by malicious programs or malware on the Android platform. These rogue application
developers take advantage of the loopholes in the Android platform by inserting their malicious
programs in the form of source code in Android applications and disseminating them through internet
blogs and the Android application market. Ignorance and carelessness in lay users in installing android
applications make the main target by malicious application developers. It is crucial to know by users
what functions are performed by the Android application, especially in providing permissions or access
rights to the Android system. This study, using a sample of Bouncing Golf and Riltok Banking Trojan
malware. The study was conducted to know the characteristics and behavior using a combination of
static analysis and dynamic analysis, or what is referred to in this study is a hybrid analysis using the
MobSF framework. The analysis showed that Bouncing Golf stole information and was able to hijack
infected Android devices effectively and Riltok Banking Trojan could take over mobile phones to steal
information from credit cards through phishing techniques.
Keywords - Android; Dynamic Analysis; Hybrid Analysis; Malware; Static Analysis.

Abstrak - Peningkatan popularitas smartphone diikuti dengan kenaikan jumlah pengguna pada setiap
tahunnya. Dalam hal ini, smartphone dengan platform android masih menjadi urutan nomor satu
dalam persentase jumlah pengguna terbanyak di dunia. Fakta ini juga diikuti dengan meningkatnya
jumlah serangan program jahat atau malware terhadap platform android. Para pengembang aplikasi
jahat ini memanfaatkan celah yang ada pada platform android dengan menyisipkan program jahat
mereka dalam bentuk source code di dalam aplikasi android dan menyebarluaskannya melalui blog-
blog internet serta pasar aplikasi android. Tidak adanya kewaspadaan dan lengahnya pada pengguna
awam dalam memasang aplikasi android menjadikan target utama oleh pengembang aplikasi jahat.
Sangat penting untuk diketahui oleh para pengguna terkait apa saja fungsi yang dilakukan oleh
aplikasi android, terutama dalam memberikan perizinan atau hak akses terhadap sistem android.
Dalam penelitian ini menggunakan sampel malware Bouncing Golf dan Riltok Banking Trojan. Penelitian
dilakukan dengan tujuan mengetahui karakteristik dan perilaku dengan menggunakan kombinasi
analisis statis dan analisa dinamis, atau yang disebut dalam penelitian ini adalah analisis hybrid
menggunakan framework MobSF. Analisis yang dilakukan menunjukkan bahwa Bouncing Golf
melakukan pencurian informasi dan dapat secara efektif membajak perangkat android yang terinfeksi
dan Riltok Banking Trojan memiliki kemampuan dalam mengambil alih smartphone untuk mencuri
informasi dari kartu kredit melalui teknik phishing.
Kata Kunci - Android; Dynamic Analysis; Hybrid Analysis; Malware; Static Analysis.

I. PENDAHULUAN

Menganalisa suatu malware sudah menjadi hal

yang umum dilakukan dan menjadi ilmu dasar dari
digital forensic. Untuk menjadi seorang investigator,
menganalisa suatu perangkat lunak yang berbahaya
adalah hal yang menantang dalam setiap melakukan
investigasi [1]. Hal ini dikarenakan serangan malware
yang meningkat dengan pesat dari dari tahun ke tahun.

Gambar 1. Kategori Pengaduan Cybercrime

191
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

II. TINJUAN PUSTAKA

Gambar 1 menunjukkan hasil penelitian dari ID-
CERT yang menjadi laporan Dwi tahun 2018 A. Malware
menemukan pengaduan terkait cybercrime berasal dari Malware atau malicious software adalah
malware sekitar 4.26% di bulan I dan meningkat sebuah perangkat lunak berbahaya yang
hingga 9,46% di bulan III [2][3][4]. Malware atau digunakan untuk menyusupi komputer orang lain
yang sering disebut malicious software adalah sebuah beserta jaringannya tanpa izin dari pemilik [5].
perangkat lunak yang sengaja diciptakan untuk Malware terbagi menjadi beberapa bentuk seperti
menyusup ke dalam sistem komputer beserta code,script, active content, dan perangkat lunak,
jaringannya tanpa diketahui oleh pemilik [5]. Tidak malware juga mampu membuat perangkat keras
hanya merusak sistem secara langsung malware juga bekerja lebih keras dari yang seharusnya karena
dapat membuat sistem rusak secara perlahan dengan perlu memfasilitasi jalannya program dari
cara memperbanyak aktivitas dari sistem atau malware tersebut [12].
menggandakan dirinya sendiri sehingga sistem akan
melambat dan rusak secara perlahan. Saat ini malware B. Analisis Static
tidak hanya berupa software saja tapi sudah merambah Metode statis analis dilakukan tanpa benar-benar
ke ranah aplikasi dengan sistem operasi android [6]. menjalankan programnya dan lebih seperti menyelidiki
Berdasarkan statcounter system operasi android pada apa yang terjadi pada source code dengan tujuan
smartphone menembus angka 72.26% dari utama yaitu untuk mengetahui kode berbahaya seperti
keseluruhan market sistem operasi mobile yang ada di apa yang tertanam dalam aplikasi tersebut [13].
dunia [7], hal ini memperkuat alasan mengapa
perkembangan malware di Indonesia sangat cepat C. Analisis Dinamis
khususnya malware yang menyerang smartphone. Analisa malware secara dinamis dapat dilakukan
Pada umumnya dalam mendeteksi dengan menjalankan virtual sandbox yang aman dan
penyalahgunaan dan anomali pada sebuah aplikasi dalam tujuan guna mengetahui perilaku malware
menggunakan static analisis atau dynamic analisis terhadap sistem seperti penambahan service,
untuk mengekstraksi fitur dari sampel malware [8]. pengumpulan data, pembukaan port, dan penambahan
Analisis static bertujuan untuk menganalisa kode dari jaringan [13].
sumber atau aplikasi dengan pola mencurigakan tanpa
menjalankannya seperti mengurai file manifest pada D. Hybrid Analysis
aplikasi android [9]. Selain static, teknik analisa Metode hybrid analysis adalah sebuah
dynamic juga memiliki peran yang sangat penting penggabungan dari teknik analisa statis dan teknik
dalam menganalisa malware pada android dengan analisa dinamis dengan memeriksa source code yang
menjalankan aplikasi pada sebuah perangkat virtual diduga sebagai malware kemudian melihat perilaku
(sandbox) sehingga dapat menampilkan perilaku dari dari malware tersebut setelah menginfeksi sistem [14].
malware yang dijalankan. Analisa hybrid ini dilakukan guna menutupi
Analisa dengan metode static lebih kekurangan dari kedua teknik tersebut.
menguntungkan karena tidak terlalu banyak
menggunakan resource akan tetapi sangat rentan E. Sistem Operasi Android
terhadap penyamaran kode (code obfuscation), yang Sistem operasi android adalah sistem operasi
merupakan teknik umum dengan tujuan untuk mobile open source berbasis java dengan kernel linux
mempersulit pembacaan sumber kode. Sebaliknya 2.6 dan berfitur lengkap yang diciptakan untuk
untuk analisis dynamic, code obfuscation tidak terlalu memenuhi kebutuhan konsumen. Aplikasi android
berpengaruh karena pembacaan aplikasi melalui yang di kembangkan dengan java lebih fleksibel
aktivitas runtime, akan tetapi teknik ini memerlukan terhadap platform yang digunakan, hal ini memberikan
lebih banyak sumber daya [10]. Meningkatnya dorongan besar bagi pasar aplikasi android. Selain itu
serangan malware pada sistem operasi android saat ini fitur-fitur yang dimiliki oleh android lebih menarik
menjadi topik menarik untuk melakukan penelitian ini sehingga memiliki pertumbuhan yang sangat cepat
[11]. Seperti penguraian di atas tentang teknik analisa terhadap pasar global.
malware memiliki kelemahan satu sama lain, oleh Sistem operasi android memiliki keamanan salah
sebab itu menggabungkan kedua teknik analisa yang satunya penambahan permission yang terdapat pada
sebelumnya diuraikan yaitu teknik static analysis dan file “Androidmanifest.xml” di dalam aplikasinya hal ini
dynamic analysis yang sering disebut hybrid analysis bertujuan untuk memverifikasi penginstalan aplikasi
menggunakan framework MobSF yang kemudian akan kepada pengguna dengan memberitahukan permission
dianalisa kembali bagian-bagian mana saja yang yang diminta oleh aplikasi tersebut [15].
dicurigai sebagai malware dari aplikasi yang akan
peneliti analisa.

192
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

F. MobSF Gambar 3 merupakan tahapan-tahapan yang akan

Mobile Security Framework (MobSF) adalah dilakukan dalam penelitian ini. Menindaklanjuti hasil
framework pengujian otomatis bersifat open-source, penelitian dari ID-CERT dengan meningkatnya
yang mampu melakukan analisis statis dan dinamis pengaduan terkait cybercrime berasal dari malware
dengan sangat mudah [16]. sebesar 9,46% pada tahun 2018, maka dalam
penelitian ini akan berfokus pada analisa malware.
III. METODOLOGI PENELITIAN Pencarian sampel malware dilakukan pada aplikasi
yang sudah mengandung malware untuk dilakukan
Metodologi yang digunakan pada penelitian ini analisa selanjutnya. Dalam pemilihan sampel malware
adalah kuantitatif dengan jenis pre-experimental tersebut, didasarkan pada banyaknya serangan
design menggunakan one-shot case study. Maksud malware jenis adware dan trojan pada sistem operasi
penelitian one-shot case study dalam penelitian ini android. Selanjutnya, sampel dari malware yang sudah
yaitu tidak adanya kelas kontrol yang digunakan ditemukan akan dilakukan analisa dengan metode
sebagai perbandingan dari kelas eksperimen. Lalu hybrid analysis.
menelusuri lebih jauh hasil yang didapatkan serta Hybrid analysis yaitu menggabungkan dari 2
melakukan pengukuran pada akhir penelitian. Adapun analisa, yaitu static analysis dan dynamic analysis.
desain dari one-shot case study menurut Sugiyono Metode analisa statis yang digunakan pada sampel
dalam bukunya (2014:110) dapat digambarkan sebagai malware adalah reverse engineering. Sampel malware
berikut : dengan format file APK akan dilakukan reverse
engineering untuk menelusuri sumber kode yang
diduga malware dan agar dapat mengetahui lebih
detail karakteristik dari perizinan yang ada di dalam
aplikasi, sehingga dengan kombinasi dynamic analysis
akan didapatkan hasil dari fungsionalitas dan perilaku
terkait tingkat akurasi pendeteksian malware.
Gambar 2. One-Shot Case Study
Dokumentasi akan menyimpan hasil dari setiap
analisa yang dilakukan terhadap sampel aplikasi
Keterangan :
malware. Berbagai jenis tools yang digunakan seperti,
X = Treatment/perlakuan dengan menggunakan
MobSF dan scan sampel malware VirusTotal akan
framework MobSF (Variabel Independen)
mendukung dalam proses pengumpulan informasi, dan
O = Observasi terhadap malware yang mendapatkan
kemudian akan disajikan dalam laporan penelitian.
perlakuan (Variabel Dependen)
IV. HASIL DAN PEMBAHASAN
Dari paragraf di atas didapati sebuah kerangka
berpikir yang digunakan pada penelitian ini yaitu
A. Preparation Analysis
untuk mencari hal-hal yang janggal pada malware
Malware yang digunakan dalam objek penelitian
yang menginfeksi perangkat android, dalam
adalah Bouncing Golf dan Riltok. Kedua malware
melakukan penelitian hybrid analysis, MobSF
tersebut dapat dilihat dalam Tabel 1 dan 2. Informasi
berperan penuh terhadap penelitian ini.
lebih lengkap mengenai malware yang akan digunakan
dalam penelitian sebagai berikut :

Tabel 1. Informasi malware bouncing golf (sumber:

virustotal)
No Malware Bouncing Golf
1 SHA256 55123ed4982fa135dbeda4
9969ab68444125143e369
30fe1612d367f2fa615fc
2 Rasio Deteksi 24/61
3 Waktu Analisis 2020-06-03 06:25:12
UTC
4 Ukuuran File 14.07 MB
5 Tipe File APK

Informasi diperoleh dari VirusTotal yaitu sampel

malware Bouncing Golf memiliki nilai checksum
SHA256 atau Secure Hash Algorithm 55123ed4982fa1
35dbeda49969ab68444125143e36930fe1612d367f2fa
615fc. Deteksi dengan rasio dari 61 antimalware dan
Gambar 3 Tahapan Penelitian Hybrid Analysis hasil 24 antimalware dapat mendeteksi sampel

193
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

malware Bouncing Golf. File sampel malware

berukuran 14.07 MB dan tipe file APK. File APK
merupakan tipe file yang umum digunakan pada
sistem operasi android sebagai file distribusi dan
pemasangan perangkat lunak atau aplikasi pada sistem
android.
Gambar 5. Checksum Malware Riltok MobSF
Tabel 2. Informasi malware riltok (sumber: virustotal)
No Malware Riltok Gambar 5 menunjukkan hasil dari nilai checksum
1 SHA256 0497b6000a7a23e9e9b97 SHA256 pada sampel malware Riltok dan
472bc2d3799caf49cbbea1 memperlihatkan nilai yang diperoleh melalui
627ad4 d87ae6e0b7e2a98 framework MobSF identik dengan informasi nilai
2 Rasio Deteksi 40/61 checksum yang diperoleh melalui VirusTotal, juga
berarti bahwa sampel pada malware Riltok yang
3 Waktu Analisis 2019-09-27 09:36:56
digunakan pada penelitian ini asli atau identik serta
UTC
tidak mengalami modifikasi atau perubahan apapun.
4 Ukuuran File 992.55 KB
Perbandingan nilai checksum kedua sampel malware
5 Tipe File APK
dapat dilihat pada Tabel 3.
Informasi didapatkan dari VirusTotal yaitu
Tabel 3. Perbandingan nilai checksum virustotal
sampel malware Riltok memiliki nilai checksum
SHA256 atau Secure Hash Algorithm dengan MobSF
0497b6000a7a23e9e9b9747 2bc2d3799caf49cbbe No Malware Nilai Checksum Definisi
a1627ad4d87ae6e0b7e2a98. Deteksi dengan rasio dari Virus MobSF
61 antimalware dan hasil 40 antimalware dapat Total
mendeteksi sampel malware Riltok. File sampel 1 Bouncin 55123ed4 55123ed4 Identik
malware berukuran 992.55 KB dan tipe file APK. File g Golf 982fa135d 982fa135d
APK merupakan tipe file yang umum digunakan pada beda4996 beda4996
sistem operasi android sebagai file distribusi dan 9ab68444 9ab68444
pemasangan perangkat lunak atau aplikasi pada sistem 125143e3 125143e3
android. 6930fe161 6930fe161
Keaslian atau data integrity dari kedua sampel 2d367f2fa 2d367f2fa
malware dapat dilakukan pemeriksaan dengan 615fc 615fc
membandingkan informasi nilai checksum yang 2 Riltok 0497b600 0497b600 Identik
diperoleh dari Virus Total dan nilai checksum yang 0a7a23e9e 0a7a23e9e
diperoleh menggunakan framework MobSF. Hasil 9b97472b 9b97472b
pemeriksaan dari nilai checksum kedua sampel c2d3799c c2d3799c
malware menggunakan framework MobSF dapat af49cbbea af49cbbea
dilihat pada gambar 3 dan 4. 1627ad4d 1627ad4d
87ae6e0b 87ae6e0b
7e2a98 7e2a98

B. Static Analysis
Analisis statis yang dilakukan dalam penelitian
ini menerapkan metode reverse engineering pada
sampel malware untuk mendapatkan java source code.
Gambar 4 Checksum Malware Bouncing Golf MobSF Tool yang digunakan dalam reverse engineering ini
adalah MobSF, kemudian analisis dilakukan pada
Gambar 4 menunjukkan nilai checksum SHA256 source code untuk mendapatkan kode kode yang
dari sampel malware Bouncing Golf menggunakan terindikasi merusak atau terdapat program berbahaya.
framework MobSF. Tidak hanya terbatas pada file
information, namun terlihat juga nilai application
scores berdasar dari framework MobSF dan juga
application information dari file APK atau sampel
malware yang akan dilakukan analisa.

Gambar 6. Alur Analisis Static file APK dengan

MobSF

194
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

Gambar 6 merupakan alur reverse engineering Prevent

pada sampel malware menggunakan framework android.permission
5 Dangerous phone from
MobSF. Tahapan pertama dalam analisis statis adalah .WAKE_LOCK
sleeping
dengan melakukan reverse engineering pada sampel
malware dengan melakukan perubahan ekstensi file
yang sebelumnya adalah *.apk menjadi *.zip Unknown
menggunakan framework MobSF, hasil dari proses ini kik.android.permis permission
6 Dangerous
berupa ekstraksi dari file sampel malware menjadi data sion.CONTACT from android
yang dapat dianalisa seperti pada alur proses gambar 6. reference
Hasil file ekstraksi dari framework MobSF adalah
report.pdf atau hasil berupa laporan yang selanjutnya Unknown
akan dianalisa untuk lebih mengetahui perizinan apa com.android.vendi permission
saja yang diminta oleh aplikasi dari sampel malware 7 Dangerous
ng.BILLING from android
terhadap sistem serta source code dari file aplikasi reference
yang sudah diubah melalui proses decompiler.
android.permission
C. Bouncing Golf Static Analysis Fine (GPS)
8 .ACCESS_FINE_L Dangerous
location
1) Application Permission Analysis: File OCATION
report.pdf dari hasil reverse engineering menggunakan
framework MobSF mengandung seluruh informasi dari Coarse
sebuah aplikasi, seperti file information, application android.permission
(network
information, application components, certificate 9 .ACCESS_COARS Dangerous
based)
information, application permissions, APKID E_LOCATION
location
analysis, manifest analysis, code analysis, domain
malware check, firebase database, emails, dan
trackers. Seluruh informasi yang didapatkan tersebut ancdroid.permisson Take pictures
10 Dangerous
akan dianalisa dengan fokus utama pada application .CAMERA and videos
permission dan code analysis. Application permission
adalah informasi hak akses atau perizinan yang android.permission
diminta oleh sampel malware. 11 .RECORD_AUDI Dangerous Record audio
Informasi perizinan yang didapatkan selanjutnya O
dilakukan pembagian berdasar pada tingkat keamanan
sesuai dengan potensi atau hasil kerusakan yang Unknown
disebabkan oleh malware Bouncing Golf. Detail android.permission permission
lengkap mengenai informasi perizinan sampel 12 Dangerous
.STORAGE from android
malware Bouncing Golf dapat dilihat pada Tabel 4. reference

Tabel 4. Tingkat keamanan perizinan malware

android.permission
bouncing golf Display
13 .SYSTEM_ALER Dangerous
No Permission Status Information system alerts
T_WINDOW

android.permission Full internet Unknown

1 Dangerous android.permission
.INTERNET access permission
14 .QUICKBOOT_P Dangerous
from android
android.permission Read phone OWERON
reference
2 .READ_PHONE_S Dangerous state and
TATE identity android.permission Read SMS or
15 Dangerous
.READ_SMS MMS
android.permission
Read contact
3 .READ_CONTAC Dangerous android.permission Edit SMS or
data 16 Dangerous
TS .WRITE_SMS MMS

android.permission Read/modify com.android.brows Read

4 .WRITE_EXTERN Dangerous /delete SD 17 er.permission.REA Dangerous browser
AL_STORAGE card contents D_HISTORY_BO history and

195
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

OKMARKS bookmarks

Retrieve
android.permission
18 Dangerous running
.GET_TASK
applications

Directly call
android.permission
19 Dangerous phone
.CALL_PHONE
numbers

android.permission Send SMS Gambar 7. Struktur Source Code Malware Bouncing

20 Dangerous
.SEND_SMS messages Golf
Gambar 7 menunjukkan struktur dari sampel
Modify
android.permission malware Bouncing Golf setelah melalui proses reverse
global
21 .WRITE_SETTIN Dangerous engineering menggunakan framework MobSF.
system Analisis statis digunakan dalam melakukan analisis
GS
settings fungsi-fungsi yang ada pada source code dari sampel
malware. Tahapan ini diperlukan dalam mencari kode
android.permission program yang dapat bersifat malicious atau berbahaya,
Read SD
22 .READ_EXTERN Dangerous dan sampel malware Bouncing Golf masuk dalam
card contents
AL_STORAGE kategori spyware. Beberapa fungsi program malicious
ditemukan dalam static analysis, di mana program
android.permission Receive malicious disisipkan dalam folder golf.
23 Dangerous
_RECEIVE_SMS SMS

android.permission Intercept
24 .PROCESS_OUTG Dangerous outgoing
OING_CALLS calls

android.permission
Read user
25 .READ_CALL_L Dangerous
call log
OG

android.permission
Write user
26 .WRITE_CALL_L Dangerous
call log data
OG

Gambar 8. Analisa Fungsi Source Code Call Phone

2) Code Review: Tahap ini merupakan proses Monitor
lanjutan dari hasil permission analysis, setelah semua
Gambar 8 merupakan hasil dari analisa statis
perizinan yang diminta oleh aplikasi malware terhadap
pada source code malware Bouncing Golf dan
sistem ditemukan maka dilakukan analisa lebih lanjut
ditemukan sampel malware memiliki fungsi untuk
dalam bentuk java source code. Report yang
melakukan pemantauan dan merekam panggilan
didapatkan dari hasil analisis menggunakan framework
telepon yang sedang terjadi pada perangkat
MobSF tidak hanya dalam bentuk laporan PDF,
smartphone pengguna, selain itu ada data call logs,
namun juga file ekstraksi dari sampel malware melalui
contacts, accounts, browser history dan bookmarks,
proses decompile dan file extraction menjadi source
SMS messages, phone information, dan file media
code java, dengan ini struktur dan source code dapat
seperti image dan video yang menjadi sasaran dari
dianalisa.
program Bouncing Golf. Data yang dicuri akan
dikumpulkan dan dilakukan enkripsi menggunakan
operasi XOR sederhana, kemudian data tersebut akan
dikirimkan ke server Command & Control
menggunakan metode HTTP POST.

196
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

D. Riltok Static Analysis Directly call

android.permisson.
1) Application Permission Analysis: Dalam 11 Dangerous phone
CALL_PHONE
proses permission analysis yang akan dilakukan sama numbers
seperti pada sampel malware Bouncing Golf. Teknik
reverse engineering dilakukan dengan menggunakan android.permission
framework MobSF untuk melakukan decompile file Change Wi-Fi
12 .CHANGE_WIFI_ Dangerous
APK pada malware Riltok. Hasil dari proses status
STATE
decompile berupa file report.pdf yang selanjutnya akan
dianalisa berdasar hasil laporan tersebut. Analisa android.permission Change
berfokus pada application permission analysis untuk
13 .CHANGE_NETW Dangerous network
mengetahui perizinan yang diminta oleh sampel
ORK_STATE connectivity
malware dan dampak terhadap sistem, seperti terlihat
pada Table 5.
Received
android.permission
Tabel 5. Tingkat keamanan perizinan malware riltok 14 Dangerous running
.GET_TASK
applications
No Permission Status Information

android.permission Full internet

1 Dangerous 2) Code Review: Tahap ini merupakan proses
.INTERNET access
lanjutan dari hasil permission analysis, setelah semua
perizinan yang diminta oleh aplikasi sampel malware
Unknown
android.permission terhadap sistem ditemukan maka akan dilakukan
permission analisa lebih lanjut dalam bentuk java source code.
2 .USES_POLICY_F Dangerous
from android Report yang didapatkan dari hasil analisis
ORCE_LOCK
reference menggunakan framework MobSF tidak hanya dalam
bentuk laporan PDF, namun juga file ekstraksi dari
android.permission Prevent phone sampel malware melalui proses decompile dan file
3 Dangerous
.WAKE_LOCK from sleeping extraction menjadi source code java, dengan ini
struktur dan source code dapat dianalisa.
android.permission Modify global
4 .WRITE_SETTIN Dangerous system
GS settings

android.permission Display
5 .SYSTEM_ALER Dangerous system-level
T_WINDOW alerts

Unknown
android.permission
permission
6 .REAL_GET_TAS Dangerous
from android
K
reference

android.permission Read phone

Gambar 9 Struktur Source Code Java Malware Riltok
7 .READ_PHONE_S Dangerous state and
TATE identity Gambar 9 merupakan struktur dari sampel
malware Riltok setelah melalui proses reverse
android.permission engineering menggunakan framework MobSF. Analisa
8 Dangerous Receive SMS
.RECEIVE_SMS statis digunakan dalam melakukan menganalisa
fungsi-fungsi yang ada pada source code, tahapan ini
android.permission Read SMS or sama seperti pada sampel malware sebelumnya yang
9 Dangerous diperlukan dalam mencari kode program yang dapat
.READ_SMS MMS
bersifat malicious atau berbahaya, dan sampel
android.permission Send SMS malware Riltok masuk dalam kategori phising.
10 Dangerous Beberapa fungsi program malicious ditemukan pada
.SEND_SMS messages
sampel malware Riltok diantaranya adalah menjadikan
malware sebagai default SMS application, dan

197
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

menampilkan halaman pembayaran dengan detail atau pemasangan aplikasi, beberapa perizinan yang
kartu bank. pada dasarnya tidak dibutuhkan dan dapat dipastikan
bahwa malware Bouncing Golf sedang mencoba
menarik informasi dari penggunanya.

Gambar 10. Analisa Fungsi Source Code Fake Google

Play Request Bank Card Details

Gambar 10 menunjukkan hasil dari analisa statis

pada source code malware Riltok dan ditemukan
sampel malware memiliki fungsi utama dalam
mencuri data kartu kredit dan mengirimkan data
tersebut ke server Command & Control. Malware
Riltok menampilkan halaman pembayaran palsu dari Gambar 11. Perizinan Instalasi Malware Bouncing
Service Google Play yang meminta detail kartu bank Golf
serta menampilkan halaman pembayaran melalui
browser dengan menyerupai pembayaran dari mobile Gambar 11 menunjukkan tampilan perizinan saat
banking. Setelah pengguna memasukan detail kartu pemasangan malware Bouncing Golf. Sampel
bank pada halaman pembayaran palsu, malware akan malware Bouncing Golf yang sebelumnya telah
melakukan validasi dasar seperti periode kartu, nomor terpasang kemudian dijalankan pada emulator dan
kartu, jumlah nomor kartu, panjang CVC dan dilakukan analisa activity. Pada tampilan pertama dari
melakukan pencocokan data dengan daftar blacklist malware Bouncing Golf, didapati tampilan yang
kartu yang telah disiapkan oleh malware Riltok. menyerupai aplikasi KIK dan terdapat dua pilihan
yaitu register dan login, dari ke-2 pilihan tersebut
E. Dynamic Analysis tidak ada yang benar-benar bekerja 100% dikarenakan
Dalam menganalisis sebuah malware android menu register dan menu login tidak terhubung atau
khususnya analisa dinamis pada umumnya tidak terkoneksi dengan database yang kemudian
memerlukan sebuah environment yang aman atau menyebabkan tidak dapat login ke dalam aplikasi
biasanya disebut virtual lab. Perangkat virtual dalam tersebut.
proses analisa dinamis ini menggunakan virtual lab
(emulator) android dari Genymotion dengan versi
android 8.1 dan API level 27 (Oreo) yang
dihubungkan dengan MobSF untuk proses analisa
dinamis dengan menggunakan jaringan local area
network (LAN).
Sampel malware yang digunakan dalam analisis
dinamis sama dengan sampel pada analisis statis, yang
kemudian dijalankan (install) dan dilakukan analisa
permission, juga dilakukan analisa kembali terhadap
karakteristik dari malware Bouncing Golf dan Riltok.

F. Bouncing Golf Dynamic Analysis

1) Installing and Running: Pemasangan
malware Bouncing Golf yang menyerupai aplikasi
KIK (aslinya adalah sebuah aplikasi media chatting
online) menampilkan beberapa perizinan yang diminta
oleh malware Bouncing Golf sebagai syarat Gambar 12. Register dan Log In Malware Bouncing
penginstalan. Melihat beberapa perizinan yang diminta Golf
oleh malware Bouncing Golf untuk melakukan install

198
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

Gambar 12 menunjukkan tampilan dari menu

login dan register dari malware Bouncing Golf.
Terlihat bahwa akses masuk atau menjalankan aplikasi
ini diharuskan untuk mendaftar terlebih dahulu dengan
memberikan informasi pribadi pengguna seperti pada
umumnya, namun karena tidak terkoneksi dengan
database maka tidak didapatkan akses untuk masuk ke
dalam aplikasi tersebut.

2) Traffic Analisis: HTTP tools adalah sebuah

tool perekam traffic HTTP yang terdapat pada analisa
dinamis MobSF. Analisa traffic dari sampel malware
Bouncing Golf yang dilakukan dengan MobSF
menunjukkan sebuah request pada suatu halaman
website.

Gambar 14. Perizinan Instalasi Malware Riltok

Gambar 14 merupakan tampilan perizinan saat

pemasangan malware Riltok. Sampel malware yang
sebelumnya telah terpasang kemudian dijalankan pada
perangkat virtual dan dilakukan analisa activity. Pada
tampilan utama pada malware Riltok menampilkan
activation devices admin dan meminta kepada
pengguna untuk segera melakukan aktivasi yang
kemudian memunculkan sebuah form credit card dan
terdapat notifikasi play protect disable.
Gambar 13. Monitoring Traffic Malware Bouncing
Golf menggunakan HTTP tools MobSF

Gambar 13 menunjukkan monitoring yang

dilakukan menggunakan HTTP tools pada framework
MobSF. Hasil dari monitoring ini menemukan sebuah
respons ke alamat website yaitu
http://mediadownload.space/get11/getdata.php dengan
metode POST. Respons yang didapat dari request
sebelumnya yaitu 302, yang artinya website sementara
dialihkan hal tersebut disebabkan karena adanya
gangguan terhadap Domain Name Server (DNS) yang
mengarah pada website tersebut.

G. Riltok Dynamic Analysis

1) Installing and Running: Pemasangan atau
proses install malware Riltok yang menyerupai
aplikasi AVIASALES(aslinya adalah sebuah aplikasi
pembelian tiket pesawat online) menampilkan
beberapa perizinan yang diminta oleh sampel malware Gambar 14. Form Credit Card Aktivasi pada Malware
Riltok
Riltok sebagai syarat aplikasi dapat dipasang atau
install. Namun perizinan yang diminta oleh malware
Gambar 14 menunjukkan tampilan form credit
Riltok sangat tidak sesuai dengan fungsi dari card pada saat aktivasi malware Riltok. Setelah
aplikasinya, seperti membaca dan menerima SMS atau pengguna memasukan detail kartu bank pada halaman
telepon yang pada dasarnya tidak diperlukan untuk pembayaran palsu, malware akan melakukan validasi
sebuah aplikasi pembelian tiket online.

199
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

dengan kecocokan pada nomor kartu debit atau credit V. KESIMPULAN

yang dimasukkan.
Dari hasil analisis sampel malware Bouncing
2) Traffic Analysis: Hasil monitoring traffic dari Golf dan Riltok menggunakan MobSF dengan metode
malware Riltok yang dijalankan pada perangkat virtual static analysis dan dynamic analysis menggunakan
menunjukkan sebuah usaha komunikasi antara virtual lab (emulator) android dari Genymotion dengan
malware dengan server C&C dengan metode GET, versi android 8.1 dan API level 27 (Oreo) telah
Terlihat pada gambar 14. suskses mendapatkan beberapa karakteristik dari
kedua malware. Bouncing Golf melakukan
pemantauan dan merekam aktivitas yang dilakukan
pengguna smartphone android. Sedangkan malware
Riltok memiliki karakteristik dalam mencuri data kartu
kredit dengan menampilkan halaman billing palsu.
Kedua malware memiliki karakteristik yang sama,
yaitu data akan dikirimkan ke server C&C(Command
& Control Server). Upaya pencegahan yang dapat
dilakukan untuk menghindari infeksi malware pada
smartphone android yaitu dengan memastikan hanya
memasang aplikasi android dari sumber terpercaya
seperti Google Play Store, dan hiraukan SMS yang
berisi tautan mencurigakan, serta pastikan selalu
update firmware sistem android pada smartphone.

SARAN
Gambar 15. Monitoring Traffic Malware Riltok
menggunakan HTTP tools MobSF Saran yang dapat diberikan untuk pengerjaan
pada penelitian berikutnya, diharapkan melalui laporan
Pada gambar 15 traffic HTTP yang dilakukan yang didapatkan ini dapat dilakukan pengembangan
proses request oleh malware Riltok dengan metode dalam melakukan analisa yang lebih efektif dan
GET pada alamat http://le22999a.pw otomatis, seperti penerapan machine learning pada
/1324273/gate.php memberikan respons 302 dan malware yang bersifat masif. Penelitian dengan teknik
Domain Name Server (DNS) dibelokkan pada sebuah yang sama juga bisa dilakukan dalam investigasi serta
website http://mercusuar.uzone.id, yang artinya DNS analisis malware khususnya pada smartphone dengan
tidak dapat mentranslasikan alamat IP dari server platform android untuk mempelajari karakteristik
malware Riltok sehingga kemungkinan besar akses malware yang terus berkembang.
C&C pada sampel malware Riltok dan server telah
dimatikan. DAFTAR PUSTAKA

H. Pencegahan [1] W. Pranoto, “Malicious Software Analysis,”

Upaya dalam melakukan pencegahan dan Cyber Secur. dan Forensik Digit., vol. 1, no. 2,
melindungi smartphone Android dari infeksi malware pp. 62–66, 2019, doi:
adalah sebagai berikut : 10.4018/9781605660608.ch030.
 Pastikan hanya memasang aplikasi android [2] ID-CERT, “Laporan Dwi Bulan I 2018.”
dari sumber terpercaya seperti Google Play [Online]. Available:
Store dan hindari pemasangan aplikasi dari https://cert.id/media/files/01_-
sumber yang tidak dipercaya. _UMUM_Dwi_Bulan_I_2018.pdf. [Accessed:
 Hiraukan SMS yang berisi tautan 26-Mar-2020].
mencurigakan seperti link dari sebuah alamat [3] ID-CERT, “Laporan Dwi Bulan II 2018.”
website. [Online]. Available:
 Perhatikan juga permission atau perijinan https://cert.id/media/files/02_-
yang diminta aplikasi terhadap sistem _UMUM_Dwi_Bulan_II_2018.pdf.
android. [Accessed: 26-Mar-2020].
[4] ID-CERT, “Laporan Dwi Bulan III 2018.”
 Pastikan selalu update firmware sistem
[Online]. Available:
android pada smartphone.
https://www.cert.or.id/media/files/03_-
 Pasang antivirus untuk platform android dan
_UMUM_Dwi_Bulan_III_2018.pdf.
update secara berkala database dari antivirus
[Accessed: 26-Mar-2020].
tersebut.
[5] Y. A. Utomo, S. Juli, I. Ismail, and T. Z. S. T,
“Membangun Sistem Analisis Malware Pada

200
 (Jurnal Teknologi Informasi) Vol.4, No.2, Desember 2020 P-ISSN 2580-7927| E-ISSN 2615-2738

Aplikasi Android Dengan Metode Reverse Aplikasi Android Menggunakan Mobsf,” vol.
Engineering Menggunakan Remnux,” vol. 4, 5, no. 1, pp. 146–151, 2019.
no. 3, pp. 2000–2012, 2018. [17] Sugiyono, Metode Penelitian Pendidikan
[6] R. Novrianda, Y. N. Kunang, and P. . Pendekatan Kuantitatif, Kualitatif, dan R&D,
Shaksono, “Analisis Forensik Pada Platform Bandung: Alfabeta, 2014.
Android,” Konf. Nas. ilmu Komput., pp. 141–
148, 2014.
[7] GlobalStats, "Mobile Operating System
Market Share Worldwide on Statcounter."
[Online]. Available:
https://gs.statcounter.com/os-market-
share/mobile/worldwide. [Accessed: 27-Mar-
2020].
[8] F. Ghaffari, M. Abadi, and A. Tajoddin,
“AMD-EC: Anomaly-based Android malware
detection using ensemble classifiers,” 2017
25th Iran. Conf. Electr. Eng. ICEE 2017, no.
lCEE, pp. 2247–2252, 2017, doi:
10.1109/IranianCEE.2017.7985436.
[9] B. A. Wichmann, A. A. Canning, D. L.
Clutterbuck, L. A. Winsborrow, N. J. Ward,
and D. W. R. Marsh, “Industrial perspective
on static analysis,” Softw. Eng. J., vol. 10, no.
2, pp. 69–75, 1995, doi:
10.1049/sej.1995.0010.
[10] V. Rastogi, Y. Chen, and X. Jiang,
“DroidChameleon: Evaluating Android
antimalware against transformation attacks,”
ASIA CCS 2013 - Proc. 8th ACM SIGSAC
Symp. Information, Comput. Commun. Secur.,
pp. 329–334, 2013, doi:
10.1145/2484313.2484355.
[11] A. F. Febrianto, A. Budiono, P. Studi, S.
Informasi, F. R. Industri, and U. Telkom,
“Analisis Malware Pada Sistem Operasi
Android Menggunakan Metode Network
Traffic Analysis Malware Analysis in Android
Operating System Using Network,” vol. 6, no.
2, pp. 7837–7844, 2019.
[12] Mobliciti, "The current state of mobile
malware on Mobliciti." [Online]. Available:
https://mobliciti.com/the-current-state-of-
mobile-malware. [Accessed: 29-Mar-2020].
[13] K. Alfalqi, R. Alghamdi, and M. Waqdan,
“Android Platform Malware Analysis,” Int. J.
Adv. Comput. Sci. Appl., vol. 6, no. 1, pp. 140–
146, 2015, doi: 10.14569/ijacsa.2015.060120.
[14] N. Zalavadiya and P. Sharma, “A
Methodology of Malware Analysis, Tools and
Technique for windows platform–RAT
Analysis,” Int. J. Innov. Res. Comput.
Commun. Eng., vol. 5, no. 3, pp. 8198–8205,
2017, doi: 10.15680/IJIRCCE.2017.
[15] A. S. Rusdi, N. Widiyasono, and H. Sulastri,
“Analisis Infeksi Malware Pada Perangkat
Android Dengan Metode Hybrid Analysis,”
no. 24, 2019.
[16] A. Kartono, A. Sularsa, and S. J. I. Ismail,
“Membangun Sistem Pengujian Keamanan

201