image credit: Pixabay.com
Banyak tingkahnya pengembang malware, berbagai macam teknik tipu-tipu mereka pergunakan, seperti yang terbaru demi cari korban SpyNote nyamar jadi Google Play Store.
Peneliti keamanan siber baru ini menemukan bahwa pelaku kejahatan siber membuat situs web tipuan yang dihosting di domain yang baru didaftarkan untuk mengirimkan malware Android yang dikenal bernama SpyNote.
Situs web palsu ini menyamar sebagai halaman penginstalan Google Play Store untuk aplikasi seperti peramban web Chrome, yang menunjukkan upaya untuk menipu pengguna yang tidak menaruh curiga agar menginstal malware tersebut.
Pelaku kejahatan siber memanfaatkan campuran situs pengiriman berbahasa Inggris dan Mandarin dan menyertakan komentar berbahasa Mandarin dalam kode situs pengiriman dan malware itu sendiri.
|
Baca juga: Jutaan Malware Android Menyebar Melalui Play Store |
Sepak Terjang SpyNot
SpyNote (alias SpyMax) adalah trojan akses jarak jauh yang sudah lama dikenal karena kemampuannya untuk memanen data sensitif dari perangkat Android yang disusupi dengan menyalahgunakan layanan aksesibilitas.
Pada bulan Mei 2024, malware tersebut disebarkan melalui situs palsu lain yang menyamar sebagai solusi antivirus sah yang dikenal sebagai Avast.
Analisis selanjutnya menemukan kesamaan antara SpyNote dan Gigabud, yang memunculkan kemungkinan bahwa pelaku kejahatan siber yang sama berada di balik kedua keluarga malware tersebut. Gigabud dikaitkan dengan pelaku ancaman berbahasa Mandarin dengan nama sandi GoldFactory.
Selama bertahun-tahun, SpyNote juga telah mengalami beberapa tingkat adopsi oleh kelompok peretas yang disponsori negara, seperti OilAlpha dan pelaku tak dikenal lainnya.
|
Baca juga: Malware Menyamar Lovely Wallpaper di Google Play Store |
Modus Operandi SpyNote
Situs web klon yang diidentifikasi oleh DTI menyertakan rangkaian gambar yang saat diklik, mengunduh berkas APK berbahaya ke perangkat pengguna.
Berkas paket tersebut bertindak sebagai dropper untuk memasang muatan APK tertanam kedua melalui antarmuka DialogInterface.OnClickListener yang memungkinkan eksekusi malware SpyNote saat item dalam kotak dialog diklik.
Setelah diinstal, malware tersebut secara agresif meminta banyak izin intrusif, memperoleh kendali ekstensif atas perangkat yang disusupi.
Kendali ini memungkinkan pencurian data sensitif seperti pesan SMS, kontak, log panggilan, informasi lokasi, dan berkas. SpyNote juga menawarkan kemampuan akses jarak jauh yang signifikan, termasuk aktivasi kamera dan mikrofon, manipulasi panggilan, dan eksekusi perintah.
Pengungkapan ini muncul saat lebih dari 4 juta serangan rekayasa sosial yang berfokus pada perangkat seluler pada tahun 2024.
Dengan 427.000 aplikasi berbahaya terdeteksi pada perangkat perusahaan dan 1.600.000 deteksi aplikasi yang rentan selama periode waktu tersebut.
Selama lima tahun terakhir, pengguna iOS telah terpapar serangan phising yang jauh lebih banyak daripada pengguna Android. 2024 adalah tahun pertama di mana perangkat iOS terpapar lebih dari dua kali lipat daripada perangkat Android.
|
Baca juga: Ribuan Spyware Menyusup di Play Store |
Intel Memperingatkan BadBazaar dan MOONSHINE
Temuan ini juga mengikuti saran bersama yang dikeluarkan oleh badan keamanan siber dan intelijen yakni dari:
- Australia
- Kanada
- Jerman
- Selandia Baru
- Inggris Raya
- Amerika Serikat
Tentang penargetan komunitas Uighur, Taiwan, dan Tibet menggunakan keluarga malware seperti BadBazaar dan MOONSHINE.
Sasaran operasi ini meliputi organisasi nonpemerintah (LSM), jurnalis, bisnis, dan anggota masyarakat sipil yang mengadvokasi atau mewakili kelompok-kelompok ini. Cara penyebaran spyware ini secara daring yang tidak pandang bulu juga berarti ada risiko bahwa infeksi dapat menyebar ke luar korban yang dituju.
Sejumlah ikon aplikasi yang digunakan oleh sampel alat pengawasan MOONSHINE per Januari 2024
Baik BadBazaar maupun MOONSHINE diklasifikasikan sebagai trojan yang mampu mengumpulkan data sensitif dari perangkat Android dan iOS, yakni:
- Lokasi
- Pesan
- Foto
- Berkas
Mereka biasanya didistribusikan melalui aplikasi yang dianggap sebagai aplikasi pengiriman pesan, utilitas, atau keagamaan.
BadBazaar pertama kali didokumentasikan pada November 2022, meskipun operasi yang mendistribusikan malware tersebut dinilai telah berlangsung sejak awal tahun 2018. Di sisi lain, MOONSHINE baru-baru ini digunakan oleh pelaku ancaman yang dijuluki Earth Minotaur untuk memfasilitasi operasi pengawasan jangka panjang yang ditujukan kepada warga Tibet dan Uighur.
BadBazaar dan APT15
Penggunaan BadBazaar telah dikaitkan dengan kelompok peretas Tiongkok yang dilacak sebagai APT15, yang juga dikenal sebagai Flea, Nylon Typhoon (sebelumnya Nickel), Playful Taurus, Royal APT, dan Vixen Panda.
Meskipun varian iOS BadBazaar memiliki kemampuan yang relatif terbatas dibandingkan dengan versi Android, ia masih memiliki kemampuan untuk mencuri data pribadi dari perangkat korban. Bukti menunjukkan bahwa ia terutama menargetkan komunitas Tibet di Tiongkok.
Menurut data yang dikumpulkan dari perangkat korban melalui MOONSHINE dicuri ke infrastruktur yang dikendalikan penyerang yang dapat diakses melalui apa yang disebut panel SCOTCH ADMIN, yang menampilkan detail perangkat yang disusupi dan tingkat akses ke masing-masing perangkat. Hingga Januari 2024, 635 perangkat dicatat melalui tiga panel SCOTCH ADMIN.
Dalam perkembangan terkait, otoritas Swedia telah menangkap Dilshat Reshit, seorang warga Uighur di Stockholm, atas dugaan memata-matai sesama anggota komunitas di negara tersebut. Reshit telah menjabat sebagai juru bicara bahasa Mandarin World Uyghur Congress (WUC) sejak 2004.
Sumber berita:
