Modus Dibalik Aplikasi Perpesanan

Peneliti ESET telah mengidentifikasi adanya modus dibalik aplikasi perpesanan yang menargetkan sebagian besar pengguna Android dengan orientasi militer atau politik.

Korban menjadi sasaran melalui penipuan asmara, di mana mereka awalnya dihubungi di platform asmara online dan kemudian diyakinkan untuk menggunakan aplikasi yang “lebih aman”, yang kemudian dibujuk untuk diinstal.

Kemungkinan besar aktif sejak Juli 2022, operasi tersebut telah mendistribusikan backdoor CapraRAT melalui setidaknya dua situs web serupa, sambil menampilkannya sebagai versi tidak terkontaminasi dari aplikasi perpesanan aman tersebut.

Baca juga: Eksploitasi Aplikasi Berkirim Pesan

Fungsionalitas

Selain fungsionalitas obrolan kerja bawaan dari aplikasi asli yang sah, versi trojan mencakup kode berbahaya yang telah diidentifikasi sebagai backdoor CapraRAT. Transparent Tribe, juga dikenal sebagai APT36.

Yaitu kelompok spionase dunia maya yang diketahui menggunakan CapraRAT; ESET juga telah melihat umpan serupa dikerahkan terhadap targetnya di masa lalu.

• Backdoor tersebut memiliki kemampuan seperti:
• Mampu mengambil tangkapan layar dan foto
• Merekam panggilan telepon dan audio di sekitarnya.
• Mengekstraksi informasi sensitif lainnya.
• Backdoor menerima perintah untuk mengunduh file.
• Melakukan panggilan.
• Mengirim pesan SMS.

Operasi ditargetkan secara terbatas, dan tidak ada yang menunjukkan bahwa aplikasi ini pernah tersedia di Google Play.

ESET mengidentifikasi operasi ini saat menganalisis sampel yang diposting di Twitter yang menarik karena cocok dengan rules Snort CrimsonRAT dan AndroRAT.

Rules snort mengidentifikasi dan memperingatkan lalu lintas jaringan berbahaya dan dapat ditulis untuk mendeteksi jenis serangan atau malware tertentu.

CrimsonRAT adalah malware Windows, yang diketahui hanya digunakan oleh Transparent Tribe.

Pada tahun 2021, grup tersebut mulai menargetkan platform Android, menggunakan versi modifikasi dari open source RAT bernama AndroRAT.

Diketahui bahwa AndroRAT memiliki kemiripan dengan CrimsonRAT, dan dinamai CapraRAT.

MeetsApp

Berdasarkan nama Android Package Kit (APK), aplikasi berbahaya pertama bermerek MeetsApp dan mengklaim menyediakan komunikasi obrolan yang aman. ESET dapat menemukan situs web tempat sampel ini dapat diunduh (meetsapp[.]org).

Tombol unduh halaman itu mengarah ke aplikasi Android dengan nama yang sama; sayangnya, tautan unduhan tidak hidup lagi (https://phone-drive[.]online/download.php?file=MeetsApp.apk).

Pada saat penelitian ini, phone-drive[.]online diselesaikan ke 198.37.123[.]126, yang merupakan alamat IP yang sama dengan phone-drive.online.geo-news[.]tv, yang digunakan di lalu oleh Transparent Tribe untuk menampung spyware-nya.

Baca juga: Ancaman Terbesar Selular Ancaman Aplikasi

MeetUp

Analisis situs web distribusi MeetsApp menunjukkan bahwa beberapa sumber dayanya dihosting di server lain dengan nama domain yang mirip, meetup-chat[.]com menggunakan nama layanan yang serupa.

Situs tersebut juga menyediakan aplikasi perpesanan Android, MeetUp, untuk diunduh dengan nama paket yang sama (com.meetup.app) seperti untuk MeetsApp, dan memiliki logo situs web yang sama.

Dua Situs

Kedua aplikasi, dari tweet dan sampel yang diunduh dari meetup-chat[.]com menyertakan kode CapraRAT yang sama, berkomunikasi dengan server C&C yang sama dan file APK-nya ditandatangani menggunakan sertifikat pengembang yang sama.

Oleh karena itu, ESET sangat yakin bahwa kedua situs web tersebut dibuat oleh pelaku ancaman yang sama; kedua domain didaftarkan pada waktu yang hampir bersamaan, 9 Juli dan 25 Juli 2022.

Kedua aplikasi didasarkan pada kode sah yang sama yang di-trojan dengan kode backdoor CapraRAT. Fungsi perpesanan tampaknya dikembangkan oleh pelaku atau ditemukan (mungkin dibeli) secara online.

Korban CapraRAT

Selama investigasi ESET, keamanan operasional yang lemah mengakibatkan terungkapnya beberapa data korban. Informasi ini memungkinkan untuk melakukan geolokasi lebih dari 150 korban di negara Asia, Afrika dan Eropa.

Berdasarkan penelitian, calon korban dibujuk untuk menginstal aplikasi melalui operasi penipuan percintaan, di mana kemungkinan besar mereka pertama kali dihubungi di platform yang berbeda dan kemudian dibujuk untuk menggunakan aplikasi MeetsApp atau MeetUp yang “lebih aman”.

Analisis Teknis

Seperti dijelaskan di atas, aplikasi MeetUp berbahaya telah tersedia di meetup-chat[.]com, dan ESET percaya dengan keyakinan tinggi bahwa MeetUp berbahaya tersedia di meetapp[.]org.

Tidak ada aplikasi yang akan dipasang secara otomatis dari lokasi ini; para korban harus memilih untuk mengunduh dan menginstal aplikasi secara manual.

Mempertimbangkan bahwa hanya segelintir individu yang dikompromikan, diyakini bahwa calon korban sangat ditargetkan dan dibujuk menggunakan skema romansa, dengan operator Transparent Tribe kemungkinan besar menjalin kontak pertama melalui platform perpesanan lain.

Setelah mendapatkan kepercayaan para korban, mereka menyarankan untuk pindah ke aplikasi obrolan lain yang diduga lebih aman, yang tersedia di salah satu situs web distribusi berbahaya.

Baca juga: Melindungi Diri dari Aplikasi Berbahaya

Fungsi CapraRAT

Setelah korban masuk ke aplikasi, CapraRAT kemudian mulai berinteraksi dengan server C&C-nya dengan mengirimkan info perangkat dasar dan menunggu untuk menerima perintah untuk dijalankan.

Berdasarkan perintah ini, CapraRAT mampu melakukan exfiltrasi:

• Log panggilan,
• Daftar kontak,
• Pesan SMS,
• Panggilan telepon yang direkam,
• Merekam audio sekitar,
• Tangkapan layar yang diambil CapraRAT,
• Foto yang diambil CapraRAT,
• Daftar file di perangkat,
• File tertentu dari perangkat,
• Lokasi perangkat,
• Daftar aplikasi yang berjalan, dan
• Teks semua notifikasi dari aplikasi lain.
• Ia juga dapat menerima perintah untuk mengunduh file, meluncurkan aplikasi apa pun yang Diinstal, mematikan aplikasi apa pun yang sedang berjalan.
• Melakukan panggilan, mengirim pesan SMS, mencegat pesan SMS yang diterima.
• Mengunduh pembaruan dan meminta korban untuk menginstalnya.

operasi seluler yang dioperasikan oleh Transparent Tribe sampai saat ini masih aktif, merepresentasikan dirinya sebagai dua aplikasi perpesanan.

Digunakan sebagai penutup untuk mendistribusikan backdoor Android CapraRAT-nya. Kedua aplikasi didistribusikan melalui dua situs web serupa yang, berdasarkan deskripsinya, menyediakan layanan perpesanan dan panggilan yang aman.

Transparent Tribe mungkin menggunakan umpan penipuan asmara untuk memikat korban agar mau menggunakan aplikasi dengan menginstal aplikasi tersebut.

Dan terus berkomunikasi menggunakan aplikasi jahat agar mereka tetap di platform dan membuat perangkat mereka dapat diakses oleh pelaku.

CapraRAT dikendalikan dari jarak jauh dan berdasarkan perintah dari server C&C, CapraRAT dapat mengekstrak informasi sensitif apa pun dari perangkat korbannya.

Operator aplikasi ini memiliki keamanan operasional yang buruk, sehingga PII korban terekspos ke peneliti kami, di internet terbuka. Karena itu, dimungkinkan untuk mendapatkan beberapa informasi tentang para korban.

Sumber berita:

WeLiveSecurity