Credit Image: Pixabay
SafeChat colong data aplikasi kirim pesan sedang ramai diperbincangkan di kalangan pengguna aplikasi berkirim pesan karena aktivitas ilegalnya.
SafeChat menunjukan bahwa serangan phising tidak melulu dilakukan melalui email, pesan melalui aplikasi berikirim pesan juga sering dilakukan penjahat siber.
|
Baca juga: Modus Dibalik Aplikasi Perpesanan |
Aplikasi Android Palsu
Peretas menggunakan aplikasi Android palsu bernama SafeChat untuk menginfeksi perangkat dengan malware spyware yang mencuri log panggilan, teks, dan lokasi GPS dari ponsel.
Spyware Android diduga varian dari Coverlm, yang mencuri data dari aplikasi komunikasi seperti Telegram, Signal, WhatsApp, Viber, dan Facebook Messenger.
Sepak terjang SafeChat berhasil ditelusuri peneliti keamanan, diketahui grup peretas APT bahamut asal India berada di balik serangan tersebut.
Dalam serangan terbaru mereka dilakukan terutama melalui pesan spear phising di WhatsApp yang mengirimkan muatan berbahaya langsung ke korban.
Spyware & SafeChat
Diketahui juga beberapa kesamaan TTP dengan kelompok lain yang disponsori negara India, DoNot APT (APT-C-35), yang sebelumnya telah mengisi Google Play dengan aplikasi obrolan palsu yang bertindak sebagai spyware.
Akhir tahun lalu, ESET melaporkan bahwa grup Bahamut menggunakan aplikasi VPN palsu untuk platform Android yang menyertakan fungsi spyware ekstensif.
Dalam kampanye terbaru yang diamati grup peretas APT Bahamut menargetkan individu di Asia Selatan.
|
Baca juga: Kerentanan Bajak WhatsApp dan Aplikasi Perpesanan Android Lain |
Detail SafeChat
Meskipun tidak ada penyelidikan secara spesifik aspek social engineering dari serangan tersebut, korban biasanya dibujuk untuk memasang aplikasi obrolan dengan dalih mengalihkan percakapan ke platform yang lebih aman.
Analis melaporkan bahwa SafeChat menampilkan antarmuka yang menipu yang membuatnya tampak sebagai aplikasi obrolan nyata
Juga membawa korban melalui proses pendaftaran pengguna yang tampaknya sah yang menambah kredibilitas dan berfungsi sebagai penutup yang sangat baik untuk spyware.
Satu langkah penting dalam infeksi adalah perolehan izin untuk menggunakan Layanan Aksesibilitas, yang kemudian disalahgunakan untuk secara otomatis memberikan izin lebih banyak kepada spyware.
Izin tambahan ini memungkinkan spyware untuk mengakses:
- Daftar kontak korban.
- SMS.
- Log panggilan.
- Penyimpanan perangkat eksternal.
- Dan mengambil data lokasi GPS yang akurat dari perangkat yang terinfeksi.
Aplikasi juga meminta pengguna untuk menyetujui pengecualian dari subsistem pengoptimalan baterai Android, yang menghentikan proses latar belakang saat pengguna tidak terlibat secara aktif dengan aplikasi.
Cuplikan lain dari file Manifes Android menunjukkan bahwa aktor ancaman merancang aplikasi untuk berinteraksi dengan aplikasi obrolan lain yang sudah diinstal.
Interaksi akan berlangsung menggunakan maksud, izin OPEN_DOCUMENT_TREE akan memilih direktori tertentu dan mengakses aplikasi yang disebutkan dalam maksud.
|
Baca juga: Eksploitasi Aplikasi Berkirim Pesan |
Eksfiltrasi Data
Modul eksfiltrasi data khusus digunakan untuk mentransfer informasi dari perangkat ke server C2 pelaku melalui port 2053.
Data yang dicuri dienkripsi menggunakan modul lain yang mendukung RSA, ECB, dan OAEPPadding. Pada saat yang sama, pelaku juga menggunakan sertifikat “letsencrypt” untuk menghindari upaya penyadapan data jaringan terhadap mereka.
Dari semua informasi yang diperoleh tersebut, memiliki cukup bukti untuk menghubungkan Bahamut dengan bekerja atas nama pemerintah negara bagian tertentu di India.
Selain itu, menggunakan otoritas sertifikat yang sama dengan grup APT DoNot, metodologi pencurian data yang serupa, cakupan penargetan umum, dan penggunaan aplikasi Android untuk menginfeksi target semuanya menunjukkan kolaborasi yang tumpang tindih atau erat antara kedua grup.
Demikian bahasan mengenai aplikasi SafeChat colong data aplikasi kirim pesan, semoga dapat bermanfaat untuk mengetahui seputar kejahatan siber terkini.
|
Baca lainnya:
|
Sumber berita:
