Remote Access Trojan (RAT) Android yang dikenal sebagai VajraSpy ditemukan di 12 aplikasi berbahaya, enam di antaranya tersedia di Google Play mulai 1 April 2021 hingga 10 September 2023. RAT ini kemudian dikenal sebagai spionase Android VajraSpy.
Aplikasi berbahaya tersebut, yang kini telah dihapus dari Google Play namun tetap tersedia di toko aplikasi pihak ketiga, disamarkan sebagai aplikasi perpesanan atau berita.
Mereka yang menginstal aplikasi tersebut terinfeksi VajraSpy, sehingga malware tersebut dapat mencuri data pribadi, termasuk kontak dan pesan, dan bergantung pada izin yang diberikan, bahkan dapat merekam panggilan telepon mereka.
Baca juga: Spionase Menyelinap Melalui WPS Office |
Patchwork APT
Peneliti ESET yang mengungkap operasi tersebut melaporkan bahwa operatornya adalah grup Patchwork APT, yang telah aktif setidaknya sejak akhir tahun 2015.
Pada tahun 2022, pelaku secara tidak sengaja mengungkapkan rincian operasi mereka sendiri ketika mereka secara tidak sengaja menginfeksi infrastrukturnya sendiri.
Tool yang mereka gunakan saat itu RAT Ragnatela, kesalahan langkah ini memberi peneliti keamanan jendela untuk melihat operasi Patchwork.
Tautan antara VajraSpy dan kluster aktivitas yang diidentifikasi ESET sebagai Patchwork pertama kali dibuat oleh QiAnXin pada tahun 2022 (dikaitkan dengan APT-Q-43).
Diikuti oleh Meta pada Maret 2023, dan Qihoo 360 pada November 2023 (dikaitkan dengan APT-C- 52).
Baca juga: Serangan Supply Chain Perusak dan Spionase |
Spionase Android VajraSpy
Peneliti ESET Lukas Stefanko menemukan 12 aplikasi Android berbahaya yang berisi kode RAT VajraSpy yang sama, enam di antaranya diunggah di Google Play, dan diunduh sekitar 1.400 kali.
Aplikasi yang tersedia di Google Play adalah:
- Rafaqat رفاقت (berita)
- Privee Talk (pesan)
- MeetMe (pesan)
- Let’s Chat (pesan)
- Quick Chat (pesan)
- Chit Chat (pesan)
Aplikasi VajraSpy yang tersedia di luar Google Play semuanya merupakan aplikasi perpesanan palsu:
- Hello Chat
- YohooTalk
- TikTalk
- Nidus
- GlowChat
- Wave Chat
Toko aplikasi pihak ketiga tidak melaporkan jumlah unduhan, sehingga jumlah orang yang menginstalnya melalui platform ini tidak diketahui.
Analisis telemetri ESET menunjukkan bahwa sebagian besar korban berada di Pakistan dan India dan kemungkinan besar tertipu untuk memasang aplikasi pesan palsu melalui penipuan percintaan.
Remote Access Trojan (RAT) Android yang dikenal sebagai VajraSpy ditemukan di 12 aplikasi berbahaya, enam di antaranya tersedia di Google Play mulai 1 April 2021 hingga 10 September 2023.
Aplikasi berbahaya tersebut, yang kini telah dihapus dari Google Play namun tetap tersedia di toko aplikasi pihak ketiga, disamarkan sebagai aplikasi perpesanan atau berita.
Mereka yang menginstal aplikasi tersebut terinfeksi VajraSpy, sehingga malware tersebut dapat mencuri data pribadi, termasuk kontak dan pesan, dan bergantung pada izin yang diberikan, bahkan dapat merekam panggilan telepon mereka.
Baca juga: Mata-mata Siber Mengincar Asia |
Fungsi Spionase VajraSpy
VajraSpy adalah spyware dan RAT yang mendukung berbagai fungsi spionase yang sebagian besar berkisar pada pencurian data. Kemampuannya dirangkum sebagai berikut:
- Mengumpulkan dan mengirimkan data pribadi dari perangkat yang terinfeksi, termasuk kontak, log panggilan, dan pesan SMS.
- Mencegat dan mengekstrak pesan dari aplikasi komunikasi terenkripsi populer seperti WhatsApp dan Signal.
- Rekam panggilan telepon untuk mengaktifkan penyadapan percakapan pribadi.
- Aktifkan kamera perangkat untuk mengambil gambar, mengubahnya menjadi alat pengawasan.
- Cegat notifikasi dari berbagai aplikasi secara real time.
- Cari dan ekstrak dokumen, gambar, audio, dan jenis file lainnya.
Kekuatan VajraSpy terletak pada sifat modular dan kemampuan beradaptasinya, sedangkan tingkat kemampuan mata-matanya ditentukan oleh tingkat izin yang diperolehnya pada perangkat yang terinfeksi.
ESET menyarankan agar pengguna menahan diri untuk tidak mengunduh aplikasi obrolan tidak jelas yang direkomendasikan oleh orang yang tidak mereka kenal.
Karena ini adalah taktik umum dan sudah lama digunakan penjahat dunia maya untuk menyusup ke perangkat.
Meskipun Google Play memperkenalkan kebijakan baru yang mempersulit malware untuk bersembunyi di dalam aplikasi, pelaku ancaman terus menyelundupkan aplikasi berbahaya mereka ke dalam platform.
Serangan sebelumnya berkinerja jauh lebih baik daripada kampanye spyware VajraSpy ini, seperti kampanye adware bulan Oktober yang mengumpulkan 2 juta instalasi.
Baru-baru ini, ditemukan bahwa malware pencuri informasi SpyLoan telah diunduh 12 juta kali dari Google Play pada tahun 2023.
Sumber berita: