Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Modus Dibalik Aplikasi Perpesanan
  • Sektor Personal
  • Teknologi

Modus Dibalik Aplikasi Perpesanan

4 min read
Modus Dibalik Aplikasi Perpesanan

Modus Dibalik Aplikasi Perpesanan

Peneliti ESET telah mengidentifikasi adanya modus dibalik aplikasi perpesanan yang menargetkan sebagian besar pengguna Android dengan orientasi militer atau politik.

Korban menjadi sasaran melalui penipuan asmara, di mana mereka awalnya dihubungi di platform asmara online dan kemudian diyakinkan untuk menggunakan aplikasi yang “lebih aman”, yang kemudian dibujuk untuk diinstal.

Kemungkinan besar aktif sejak Juli 2022, operasi tersebut telah mendistribusikan backdoor CapraRAT melalui setidaknya dua situs web serupa, sambil menampilkannya sebagai versi tidak terkontaminasi dari aplikasi perpesanan aman tersebut.

Baca juga: Eksploitasi Aplikasi Berkirim Pesan
Fungsionalitas

Selain fungsionalitas obrolan kerja bawaan dari aplikasi asli yang sah, versi trojan mencakup kode berbahaya yang telah diidentifikasi sebagai backdoor CapraRAT. Transparent Tribe, juga dikenal sebagai APT36.

Yaitu kelompok spionase dunia maya yang diketahui menggunakan CapraRAT; ESET juga telah melihat umpan serupa dikerahkan terhadap targetnya di masa lalu.

  • Backdoor tersebut memiliki kemampuan seperti:
  • Mampu mengambil tangkapan layar dan foto
  • Merekam panggilan telepon dan audio di sekitarnya.
  • Mengekstraksi informasi sensitif lainnya.
  • Backdoor menerima perintah untuk mengunduh file.
  • Melakukan panggilan.
  • Mengirim pesan SMS.

Operasi ditargetkan secara terbatas, dan tidak ada yang menunjukkan bahwa aplikasi ini pernah tersedia di Google Play.

ESET mengidentifikasi operasi ini saat menganalisis sampel yang diposting di Twitter yang menarik karena cocok dengan rules Snort CrimsonRAT dan AndroRAT.

Rules snort mengidentifikasi dan memperingatkan lalu lintas jaringan berbahaya dan dapat ditulis untuk mendeteksi jenis serangan atau malware tertentu.

CrimsonRAT adalah malware Windows, yang diketahui hanya digunakan oleh Transparent Tribe.

Pada tahun 2021, grup tersebut mulai menargetkan platform Android, menggunakan versi modifikasi dari open source RAT bernama AndroRAT.

Diketahui bahwa AndroRAT memiliki kemiripan dengan CrimsonRAT, dan dinamai CapraRAT.

MeetsApp

Berdasarkan nama Android Package Kit (APK), aplikasi berbahaya pertama bermerek MeetsApp dan mengklaim menyediakan komunikasi obrolan yang aman. ESET dapat menemukan situs web tempat sampel ini dapat diunduh (meetsapp[.]org).

Tombol unduh halaman itu mengarah ke aplikasi Android dengan nama yang sama; sayangnya, tautan unduhan tidak hidup lagi (https://phone-drive[.]online/download.php?file=MeetsApp.apk).

Pada saat penelitian ini, phone-drive[.]online diselesaikan ke 198.37.123[.]126, yang merupakan alamat IP yang sama dengan phone-drive.online.geo-news[.]tv, yang digunakan di lalu oleh Transparent Tribe untuk menampung spyware-nya.

Baca juga: Ancaman Terbesar Selular Ancaman Aplikasi
MeetUp

Analisis situs web distribusi MeetsApp menunjukkan bahwa beberapa sumber dayanya dihosting di server lain dengan nama domain yang mirip, meetup-chat[.]com menggunakan nama layanan yang serupa.

Situs tersebut juga menyediakan aplikasi perpesanan Android, MeetUp, untuk diunduh dengan nama paket yang sama (com.meetup.app) seperti untuk MeetsApp, dan memiliki logo situs web yang sama.

Dua Situs

Kedua aplikasi, dari tweet dan sampel yang diunduh dari meetup-chat[.]com menyertakan kode CapraRAT yang sama, berkomunikasi dengan server C&C yang sama dan file APK-nya ditandatangani menggunakan sertifikat pengembang yang sama.

Oleh karena itu, ESET sangat yakin bahwa kedua situs web tersebut dibuat oleh pelaku ancaman yang sama; kedua domain didaftarkan pada waktu yang hampir bersamaan, 9 Juli dan 25 Juli 2022.

Kedua aplikasi didasarkan pada kode sah yang sama yang di-trojan dengan kode backdoor CapraRAT. Fungsi perpesanan tampaknya dikembangkan oleh pelaku atau ditemukan (mungkin dibeli) secara online.

Korban CapraRAT

Selama investigasi ESET, keamanan operasional yang lemah mengakibatkan terungkapnya beberapa data korban. Informasi ini memungkinkan untuk melakukan geolokasi lebih dari 150 korban di negara Asia, Afrika dan Eropa.

Berdasarkan penelitian, calon korban dibujuk untuk menginstal aplikasi melalui operasi penipuan percintaan, di mana kemungkinan besar mereka pertama kali dihubungi di platform yang berbeda dan kemudian dibujuk untuk menggunakan aplikasi MeetsApp atau MeetUp yang “lebih aman”.

Analisis Teknis

Seperti dijelaskan di atas, aplikasi MeetUp berbahaya telah tersedia di meetup-chat[.]com, dan ESET percaya dengan keyakinan tinggi bahwa MeetUp berbahaya tersedia di meetapp[.]org.

Tidak ada aplikasi yang akan dipasang secara otomatis dari lokasi ini; para korban harus memilih untuk mengunduh dan menginstal aplikasi secara manual.

Mempertimbangkan bahwa hanya segelintir individu yang dikompromikan, diyakini bahwa calon korban sangat ditargetkan dan dibujuk menggunakan skema romansa, dengan operator Transparent Tribe kemungkinan besar menjalin kontak pertama melalui platform perpesanan lain.

Setelah mendapatkan kepercayaan para korban, mereka menyarankan untuk pindah ke aplikasi obrolan lain yang diduga lebih aman, yang tersedia di salah satu situs web distribusi berbahaya.

Baca juga: Melindungi Diri dari Aplikasi Berbahaya
Fungsi CapraRAT

Setelah korban masuk ke aplikasi, CapraRAT kemudian mulai berinteraksi dengan server C&C-nya dengan mengirimkan info perangkat dasar dan menunggu untuk menerima perintah untuk dijalankan.

Berdasarkan perintah ini, CapraRAT mampu melakukan exfiltrasi:

  • Log panggilan,
  • Daftar kontak,
  • Pesan SMS,
  • Panggilan telepon yang direkam,
  • Merekam audio sekitar,
  • Tangkapan layar yang diambil CapraRAT,
  • Foto yang diambil CapraRAT,
  • Daftar file di perangkat,
  • File tertentu dari perangkat,
  • Lokasi perangkat,
  • Daftar aplikasi yang berjalan, dan
  • Teks semua notifikasi dari aplikasi lain.
  • Ia juga dapat menerima perintah untuk mengunduh file, meluncurkan aplikasi apa pun yang Diinstal, mematikan aplikasi apa pun yang sedang berjalan.
  • Melakukan panggilan, mengirim pesan SMS, mencegat pesan SMS yang diterima.
  • Mengunduh pembaruan dan meminta korban untuk menginstalnya.

operasi seluler yang dioperasikan oleh Transparent Tribe sampai saat ini masih aktif, merepresentasikan dirinya sebagai dua aplikasi perpesanan.

Digunakan sebagai penutup untuk mendistribusikan backdoor Android CapraRAT-nya. Kedua aplikasi didistribusikan melalui dua situs web serupa yang, berdasarkan deskripsinya, menyediakan layanan perpesanan dan panggilan yang aman.

Transparent Tribe mungkin menggunakan umpan penipuan asmara untuk memikat korban agar mau menggunakan aplikasi dengan menginstal aplikasi tersebut.

Dan terus berkomunikasi menggunakan aplikasi jahat agar mereka tetap di platform dan membuat perangkat mereka dapat diakses oleh pelaku.

CapraRAT dikendalikan dari jarak jauh dan berdasarkan perintah dari server C&C, CapraRAT dapat mengekstrak informasi sensitif apa pun dari perangkat korbannya.

Operator aplikasi ini memiliki keamanan operasional yang buruk, sehingga PII korban terekspos ke peneliti kami, di internet terbuka. Karena itu, dimungkinkan untuk mendapatkan beberapa informasi tentang para korban.

 

Baca lainnya:

  • Kerentanan Bajak WhatsApp dan Aplikasi Perpesanan Lainnya
  • Kamuflase Masif Malware Mata-mata di Aplikasi Android
  • Aplikasi Pembayaran Sarang Kejahatan
  • Mengamankan Aplikasi Kencan Online

 

Sumber berita:

 

WeLiveSecurity

 

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik Antivirus Top aplikasi penipuan asmara aplikasi perpesanan CapraRAT modus aplikasi perpesanan penipuan asmara RAT berbahaya

Continue Reading

Previous: Edukasi Siber Karyawan
Next: Verifikasi Kredensial

Related Stories

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025

Recent Posts

  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Copyright © All rights reserved. | DarkNews by AF themes.