Ada hal yang menarik dari serangan yang dilakukan oleh kelompok siber Bladehawk melalui operasi siber menggunakan spyware berbasis Facebook, mereka menyamarkan backdoor di aplikasi Android yang legitimate untuk menjebak korbannya.
Beroperasi aktif selama lebih dari satu tahun, dimulai setidaknya sejak Maret 2020, Kelompok ini menyamarkan RAT 888 dan SpyNote di aplikasi Android menggunakan profil Facebook khusus,
Peneliti malware ESET, Lukas Stefanko adalah orang yang menemukan aktivitas berbahaya ini, kampanye spionase seluler tersebut ditujukan pada kelompok kurdi yang menjadi sasarannya. Dan upaya mereka sepertinya cukup sukses, hal ini terlihat dari situs unduhan yang menunjukkan setidaknya 1.481 unduhan dari URL yang dipromosikan hanya dalam beberapa posting Facebook.
Secara keseluruhan, para peneliti mengidentifikasi enam profil sebagai bagian dari kampanye BladeHawk, yang telah membagikan aplikasi mata-mata Android dan menargetkan sekitar 11.000 pengikut melalui 28 pos unik. Profil telah dilaporkan ke Facebook dan langsung dinonaktifkan.
Trik tipuan BladeHawk
Dari keenam akun Facebook yang dikerahkan untuk menarik simpati para korban, diketahui dua profil ditujukan untuk pengguna teknologi, sementara empat lainnya berpose sebagai pendukung kurdi.
Semua profil ini dibuat pada tahun 2020 dan tak lama setelah pembuatan mereka mulai memposting aplikasi palsu ini. Akun-akun ini, kecuali satu, belum memposting konten lain selain RAT Android yang menyamar sebagai aplikasi yang sah.
Masing-masing postingan dalam kampanye ini berisi deskripsi aplikasi palsu dan tautan untuk mengunduh aplikasi. Kemudian para peneliti mengunduh 17 paket aplikasi Android (APK) unik dari tautan ini, beberapa di antaranya mengarah langsung ke aplikasi berbahaya.
Tautan lain menunjuk ke layanan unggahan pihak ketiga top4top.io, yang melacak jumlah unduhan file. Data dari layanan itu menunjukkan bahwa setidaknya ada 1.481 unduhan aplikasi berbahaya dari URL yang dipromosikan hanya dalam beberapa posting Facebook antara 20 Juli 2020 dan 28 Juni tahun ini.
Pelaku juga membagikan aplikasi spionase ke grup Facebook publik, yang sebagian besar mendukung Masoud Barzani, mantan presiden Wilayah Kurdistan.
Aktivitas Muatan
Muatan utama kampanye ini adalah RAT multiplatform 888, yang sebelumnya digunakan dalam dua kampanye terorganisir lainnya, satu menargetkan pengguna TikTok dengan spyware TikTok Pro dan lainnya oleh grup Kasablanka, menurut ESET.
Dalam satu contoh, kampanye menyebarkan trojan SpyNote yang merupakan alat mata-mata komersial yang lebih tua dan terkenal yang memiliki sejarah penyamaran sebagai aplikasi yang sah, termasuk Netflix.
RAT 888 awalnya hanya diterbitkan untuk ekosistem Windows dan dijual di Dark Web seharga $80. Pada Juni 2018, versi Pro dari RAT seharga $150 memperluas kemampuannya untuk Android, sementara versi Extreme yang dirilis kemudian dan dijual seharga $200 juga dapat membuat muatan berbasis Linux.
RAT 888 yang digunakan dalam kampanye BladeHawk mencakup kemampuan untuk: Mencuri dan menghapus file dari perangkat, mengambil tangkapan layar, dapatkan lokasi perangkat, dapatkan daftar aplikasi yang diinstal, mencuri foto pengguna, ambil foto, merekam audio dan panggilan telepon di sekitarnya, melakukan panggilan; mencuri pesan SMS, mencuri daftar kontak perangkat, dan mengirim pesan teks.
RAT juga dapat mengelabui kredensial Facebook dengan menyebarkan aktivitas yang tampaknya berasal dari aplikasi Facebook yang sah. Sementara ESET telah menerbitkan daftar nama file, profil dan grup Facebook, serta tautan distribusi dan phishing yang terkait dengan kampanye BladeHawk di pos.
Phising dan social engineering
Social engineering adalah istilah yang digunakan untuk berbagai aktivitas jahat yang dilakukan melalui interaksi manusia. Ini menggunakan manipulasi psikologis untuk mengelabui pengguna agar membuat kesalahan keamanan atau memberikan informasi sensitif.
Dalam kasus BladeHawk, pelaku membuat enam akun Facebook untuk dapat berinteraksi dengan orang-orang yang menjadi target mereka, mengelabui mereka dengan memberi informasi-informasi umum valid dengan tujuan untuk menumbuhkan kepercayaan korban kepada pelaku.
Begitu kepercayaan terbangun, akan lebih mudah bagi pelaku untuk mengarahkan target mengikuti apa yang mereka mau, dalam hal ini melalui link atau tautan ke layanan pihak ketiga untuk mengunduh aplikasi yang di dalamnya sudah disisipi dengan RAT.
Aplikasi-aplikasi ini adalah aplikasi yang legitimate atau sah, inilah yang menjadi phishing atau tipuan online dengan menyamar sebagai suatu hal yang legitimate atau sah untuk menyakinkan korban bahwa semua terlihat aman dan baik-baik saja. Begitu aplikasi diunduh dan dijalankan, selesailah semua.
Pengguna internet bisa melihat bahwa ujung dari trik ini adalah layanan pihak ketiga untuk mengunduh aplikasi. Layanan semacam ini tidak dapat dipercaya, selain sistem keamanannya yang lemah, layanan ini seringkali dijadikan tempat untuk melakukan kejahatan siber. Jadi pastikan setiap kali mengunduh hanya di toko aplikasi yang resmi.
Yang paling penting dari ini semua adalah pentingnya menggunakan solusi keamanan yang komprehensif dan berlapis untuk mencegah serangan social engineering dan phising seperti dalam kasus di atas.
Dan yang tak kalah penting, pastikan solusi keamanan yang diinstal tidak membebani perangkat yang dapat menyebabkan ketidaknyamanan dalam penggunaan perangkat.
