Credit image: Pixabay
Spyware BadBazaar menyelinap di Telegram & Signal merupakan ancaman baru dari dunia spionase online yang cukup mengegerkan publik belakangan ini, berikut ulasannya.
Peneliti ESET telah mengidentifikasi dua operasi aktif yang menargetkan pengguna Android, di mana pelaku ancaman di balik alat tersebut dikaitkan dengan grup APT GREF yang berpihak pada Tiongkok.
Kemungkinan besar aktif sejak Juli 2020 dan sejak Juli 2022, operasi tersebut telah mendistribusikan kode spionase Android BadBazaar melalui Google Play Store, Samsung Galaxy Store, dan situs web khusus yang mewakili aplikasi jahat Signal Plus Messenger dan FlyGram.
|
Baca juga: Spyware 101 |
Patch Berbahaya
Pelaku ancaman menambal/patch aplikasi open-source Signal dan Telegram untuk Android dengan kode berbahaya yang kami identifikasi sebagai BadBazaar.
Aplikasi Trojanisasi Signal dan Telegram yang berisi spyware BadBazaar diunggah ke Google Play dan Samsung Galaxy Store oleh grup APT Tiongkok GREF.
Malware ini sebelumnya digunakan untuk menargetkan etnis minoritas di Tiongkok, namun telemetri ESET menunjukkan bahwa kali ini, pelaku menargetkan pengguna di berbagai negara seperti:
- Ukraina.
- Polandia.
- Belanda.
- Spanyol.
- Portugal.
- Jerman.
- Hong Kong.
- Amerika Serikat.
Kemampuan BadBazaar di antaranya adalah:
- Melacak lokasi perangkat secara tepat.
- Mencuri log panggilan dan SMS.
- Merekam panggilan telepon.
- Mengambil gambar menggunakan kamera.
- Mengeksfiltrasi daftar kontak.
- Dan mencuri file atau database.
Aplikasi trojan yang berisi kode BadBazaar ditemukan oleh peneliti ESET, Lukas Stefanko.
|
Baca juga: Spyware Menyamar Layanan VPN |
Trojanisasi Aplikasi IM
Dua aplikasi yang digunakan GREF dalam operasinya diberi nama ‘Signal Plus Messenger’ dan ‘FlyGram’, keduanya merupakan versi patch dari aplikasi IM open-source populer Signal dan Telegram.
Pelaku juga membuat situs web khusus di “signalplus[.]org” dan “flygram[.]org” untuk menambah legitimasi operasi malware, menawarkan tautan untuk memasang aplikasi dari Google Play atau langsung dari situs tersebut.
ESET melaporkan bahwa FlyGram menargetkan data sensitif sepert:
- Daftar kontak.
- Log panggilan,
- Akun Google.
- Dan data WiFi
Selain itu mereka juga menawarkan fitur cadangan berbahaya yang mengirimkan data komunikasi Telegram ke server yang dikendalikan pelaku.
Analisis data yang tersedia menunjukkan bahwa 13.953 pengguna FlyGram mengaktifkan fitur pencadangan ini, namun total pengguna aplikasi spyware tidak ditentukan.
Klon Signal mengumpulkan informasi serupa tetapi lebih fokus pada penggalian informasi spesifik Signal seperti komunikasi korban dan PIN yang melindungi akun mereka dari akses tidak sah.
|
Baca juga: Segala Hal tentang Spyware |
Fitur Signal Berbahaya
Aplikasi Signal palsu ternyata juga menyertakan fitur yang membuat serangan ini lebih berbahaya, fitur ini media mengontrol korban.
Fitur memungkinkan pelaku menautkan akun Signal korban ke perangkat yang dikendalikannya sehingga pelaku dapat melihat pesan obrolan korbam.
Signal menyertakan fitur berbasis kode QR agar pengguna dapat menautkan beberapa perangkat ke satu akununtuk simpilfikasi penggunaan.
Dengan fitur ini pengguna dapat melihat pesan obrolan dari seluruh perangkat yang ditautkan tersebut, namun di sini masalahnya.
Signal Plus Messenger menyalahgunakan fitur ini dengan melewati proses penautan kode QR dan secara otomatis menghubungkan perangkat mereka sendiri ke akun Signal korban tanpa sepengetahuan korban..
Hal ini memungkinkan pelaku memantau semua pesan di masa depan yang dikirim dari akun Signal, sesuai fungsinya sebagai aplikasi mata-mata.
“BadBazaar, malware yang bertanggung jawab atas kegiatan mata-mata ini, melewati pemindaian kode QR biasa dan proses klik pengguna dengan menerima URI yang diperlukan dari server C&C-nya, dan secara langsung memicu tindakan yang diperlukan ketika tombol Tautkan perangkat diklik,” jelas ESET.
“Hal ini memungkinkan malware untuk secara diam-diam menghubungkan ponsel pintar korban ke perangkat pelaku, memungkinkan mereka memata-matai komunikasi Signal tanpa sepengetahuan korban.”
|
Baca juga: Mitigasi Spyware |
Metode Mata-mata
ESET mengatakan metode memata-matai Signal ini telah digunakan sebelumnya karena ini adalah satu-satunya cara untuk mendapatkan konten pesan Signal.
Untuk mengetahui apakah perangkat jahat ditautkan ke akun Signal Anda, luncurkan aplikasi Signal yang sebenarnya, buka Pengaturan, dan ketuk opsi “Perangkat Tertaut” untuk melihat dan mengelola semua perangkat yang terhubung.
FlyGram diunggah di Google Play pada Juli 2020, dan dihapus pada 6 Januari 2021, setelah mengumpulkan total 5.000 pemasangan melalui saluran tersebut.
Signal Plus Messenger diunggah di Google Play dan Samsung Galaxy Store pada Juli 2022, dan Google menghapusnya pada 23 Mei 2023.
Pada saat artikel ini ditulis, BleepingComputer mengonfirmasi bahwa kedua aplikasi tersebut masih tersedia di Samsung Galaxy Store.
Pengguna Android disarankan untuk menggunakan Signal dan Telegram versi asli dan menghindari mengunduh aplikasi fork yang menjanjikan peningkatan privasi atau fitur tambahan, meskipun tersedia di toko aplikasi resmi.
Demkian pembahasan kali ini mengenai spyware BadBazaar menyelinap di Telegram & Signal, semoga informasi seputar keamanan siber ini dapat bermanfaat.
Sumber berita:
