Spyware Menyamar Layanan VPN

Peneliti ESET menemukan setidaknya delapan versi spyware menyamar layanan VPN. Spyware bernama Bahamut ini didistribusikan melalui situs web SecureVPN palsu.

Pelaku terkait dengan operasi spionase dunia maya setidaknya sejak tahun 2017, yang kali ini memikat korban dengan perangkat lunak VPN palsu untuk Android yang merupakan versi trojan dari perangkat lunak resmi SoftVPN dan OpenVPN.

Para peneliti mengatakan bahwa operasi tersebut “sangat bertarget” dan ditujukan untuk mencuri data kontak dan panggilan, lokasi perangkat, serta pesan dari berbagai aplikasi.

Peniruan layanan VPN

Bahamut yang diketahui sebagai otak di balik operasi tersebut diyakini sebagai kelompok tentara bayaran yang menyediakan layanan hack for hire.

Untuk menyembunyikan operasi mereka dan untuk tujuan kredibilitas, Bahamut menggunakan nama SecureVPN (yang merupakan layanan VPN yang sah) dan membuat situs web palsu [thesecurevpn] untuk mendistribusikan aplikasi jahat mereka.

Perlu dicatat bahwa tidak ada versi VPN trojan yang tersedia melalui Google Play, indikasi lain dari sifat operasi yang ditargetkan.

Analis malware ESET Lukas Stefanko mengatakan bahwa Bahamut mengemas ulang aplikasi SoftVPN dan OpenVPN untuk Android untuk memasukkan kode berbahaya dengan fungsi mata-mata.

Dengan melakukan ini, aktor memastikan bahwa aplikasi tersebut akan tetap menyediakan fungsionalitas VPN kepada korban sambil mengekstraksi informasi sensitif dari perangkat seluler.

Fungsionalitas Bahamut

Saat spyware Bahamut diaktifkan, ia dapat dikendalikan dari jarak jauh oleh operatornya dan dapat mengekstraksi berbagai data perangkat sensitif seperti:

• Kontak.

• Pesan SMS.
• Log panggilan.
• Daftar aplikasi yang diinstal.
• Lokasi perangkat.
• Akun perangkat.
• Info perangkat (jenis koneksi internet, IMEI, IP, nomor seri SIM).
• Rekaman panggilan telepon.
• Daftar file di penyimpanan eksternal.

Dengan menyalahgunakan layanan aksesibilitas, spyware di layanan VPN ini dapat mencuri catatan dari aplikasi SafeNotes dan secara aktif memata-matai pesan obrolan dan informasi tentang panggilan dari aplikasi perpesanan populer seperti:

• imo-Panggilan & Obrolan Internasional.
• Messenger Facebook.
• Viber.
• Signal Private Messenger.
• WhatsApp.
• Telegram.
• WeChat.
• Aplikasi Conion.

Semua data yang dieksfiltrasi disimpan dalam database lokal dan kemudian dikirim ke server C&C. Fungsionalitas spyware Bahamut mencakup kemampuan untuk memperbarui aplikasi dengan menerima tautan ke versi baru dari server C&C.

ESET menyakini bahwa target dipilih dengan hati-hati, karena setelah spyware Bahamut diluncurkan, ia meminta kunci aktivasi sebelum fungsi VPN dan spyware dapat diaktifkan. Kunci aktivasi dan tautan situs web kemungkinan dikirim ke pengguna yang ditargetkan.

Kelompok APT Bahamut

Grup APT Bahamut biasanya menargetkan entitas dan individu di Timur Tengah dan Asia Selatan dengan pesan spear phising dan aplikasi palsu sebagai vektor serangan awal.

Bahamut berspesialisasi dalam cyberespionage, dan dipercaya bahwa tujuannya adalah untuk mencuri informasi sensitif dari para korbannya.

Bahamut juga disebut sebagai kelompok tentara bayaran yang menawarkan layanan hack for hire ke berbagai klien.

Menghubungkan Bahamut dengan pelaku kejahatan siber lain adalah hal yang sulit mengingat kelompok tersebut sangat bergantung pada alat yang tersedia untuk umum, terus menerus mengubah taktik, dan targetnya tidak berada di wilayah tertentu.

Namun, peneliti BlackBerry mencatat dalam laporan ekstensif tentang Bahamut pada tahun 2020 bahwa grup tersebut tampaknya tidak hanya memiliki dana dan sumber daya yang baik, tetapi juga berpengalaman dalam riset keamanan.

Beberapa kelompok pelaku ancaman yang dikaitkan dengan Bahamut di antaranya adalah Windshift dan Urpage.

Sumber berita:

WeLiveSecurity