StrongPity Backdoor Spionase Berbahaya
Bandit-bandit dunia maya selalu punya seribu cara agar keinginan mereka dapat dipenuhi, dengan StrongPity backdoor spionase berbahaya mereka ingin membuat dunia jungkir balik.
Penjahat dunia maya kali ini membuat aplikasi berkirim pesan yang sebenarnya tidak lebih dari aplikasi Telegram yang ditrojanisasi.
Versi aplikasi Telegram sah yang berfungsi penuh tetapi di-trojanisasi ini disajikan sebagai aplikasi Shagle yang tidak pernah ada.
ESET menyebutnya aplikasi Shagle palsu atau backdoor StrongPity. Aplikasi telegram yang ditrojanisasi ini dideteksi ESET sebagai Android/StrongPity.A.
|
Baca juga: Polonium Grup Peretas Spionase |
Fungsionalitas StrongPity
Backdoor StrongPity ini memiliki berbagai fitur mata-mata: 11 modul yang dipicu secara dinamis bertanggung jawab untuk:
- Merekam panggilan telepon.
- Mengumpulkan pesan SMS.
- Daftar log panggilan.
- Daftar kontak dan banyak lagi.
Notifikasi 17 Aplikasi
Jika korban memberikan layanan aksesibilitas aplikasi StrongPity yang berbahaya, salah satu modulnya juga akan memiliki akses ke notifikasi yang masuk dan akan dapat mengekstraksi komunikasi dari 17 aplikasi.
Berikut adalah daftar nama paket mereka:
- Messenger (com.facebook.orca)
- Messenger Lite (com.facebook.mlite)
- Viber – Safe Chats And Calls (com.viber.voip)
- Skype (com.skype.raider)
- LINE: Calls & Messages (jp.naver.line.android)
- Kik — Messaging & Chat App (kik.android)
- tango-live stream & video chat (com.sgiggle.production)
- Hangouts (com.google.android.talk)
- Telegram (org.telegram.messenger)
- WeChat (com.tencent.mm)
- Snapchat (com.snapchat.android)
- Tinder (com.tinder)
- Hike News & Content (com.bsb.hike)
- Instagram (com.instagram.android)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- imo-International Calls & Chat (com.imo.android.imoim)
Selama penelitian ESET, versi malware yang dianalisis yang tersedia dari situs peniru tidak lagi aktif dan tidak mungkin lagi berhasil menginstalnya dan memicu fungsi backdoor karena StrongPity belum memperoleh ID API sendiri untuk aplikasi Telegram yang di-trojanisasi.
Operasi tersebut kemungkinan besar ditargetkan secara terbatas, karena telemetri ESET masih belum mengidentifikasi korban.
Backdoor Android
Operasi StrongPity ini berpusat pada backdoor Android yang dikirim dari domain yang berisi kata “ducth”. Situs web ini meniru layanan resmi bernama Shagle di shagle.com.
Aplikasi jahat disediakan langsung dari situs web yang meniru dan tidak pernah tersedia dari Google Play Store.
Ini adalah versi trojan dari aplikasi Telegram yang sah, disajikan seolah-olah itu adalah aplikasi Shagle, meskipun saat ini tidak ada aplikasi resmi Android Shagle.
Cara Kerja StrongPity
Analisis teknis
Akses awal aplikasi Shagle palsu telah dihosting di situs web peniru Shagle, dari mana para korban harus memilih untuk mengunduh dan menginstal aplikasi tersebut.
Tidak ada akal-akalan yang menyarankan aplikasi itu tersedia dari Google Play dan tidak diketahui bagaimana calon korban terpikat, atau ditemukan situs web palsu.
Menurut deskripsi di situs peniru, aplikasi ini gratis dan dimaksudkan untuk digunakan untuk bertemu dan mengobrol dengan orang baru.
Namun, aplikasi yang diunduh adalah aplikasi Telegram yang ditambal dengan jahat, khususnya Telegram versi 7.5.0 (22467), yang tersedia untuk diunduh sekitar 25 Februari 2022.
Perangkat
Aplikasi ini adalah versi Telegram yang dikemas ulang menggunakan nama paket yang sama dengan aplikasi Telegram yang sah.
Nama paket seharusnya merupakan ID unik untuk setiap aplikasi Android dan harus unik pada perangkat apa pun.
Artinya, jika aplikasi Telegram resmi sudah terinstal di perangkat calon korban, maka versi backdoor ini tidak dapat diinstal.
Ini mungkin berarti salah satu dari dua hal, apakah pelaku pertama-tama berkomunikasi dengan calon korban dan mendorong mereka untuk mencopot Telegram dari perangkat mereka jika terpasang, atau operasi ini berfokus pada negara-negara di mana penggunaan Telegram jarang untuk komunikasi.
Backdoor StrongPity ini telah memperluas fitur mata-mata dibandingkan dengan versi StrongPity pertama yang ditemukan untuk seluler.
Ia dapat meminta korban untuk mengaktifkan layanan aksesibilitas dan mendapatkan akses notifikasi.
Jika korban mengaktifkannya, malware akan memata-matai notifikasi yang masuk dan menyalahgunakan layanan aksesibilitas untuk mengekstraksi komunikasi obrolan dari aplikasi lain.
|
Baca juga: Gelsemium Dibalik Spionase Dunia Maya |
Analisis Akhir
Operasi seluler yang dijalankan oleh grup StrongPity APT menyamar sebagai layanan yang sah untuk mendistribusikan backdoor Android-nya. StrongPity mengemas ulang aplikasi Telegram resmi untuk menyertakan varian kode backdoor grup.
Kode berbahaya itu, fungsinya, nama kelas, dan sertifikat yang digunakan untuk menandatangani file APK, sama dengan operasi sebelumnya, jadi ESET percaya dengan keyakinan tinggi bahwa operasi ini milik grup StrongPity.
Pada saat penelitian, sampel yang tersedia di situs peniru dinonaktifkan karena kesalahan API_ID_PUBLISHED_FLOOD, yang mengakibatkan kode berbahaya tidak terpicu dan calon korban mungkin menghapus aplikasi yang tidak berfungsi dari perangkat mereka.
Analisis kode mengungkapkan bahwa backdoor bersifat modular dan modul biner tambahan diunduh dari server C&C. Artinya, jumlah dan jenis modul yang digunakan dapat diubah kapan saja agar sesuai dengan permintaan kampanye saat dioperasikan oleh grup StrongPity.
Berdasarkan analisis ESET StrongPity backdoor spionase berbahaya ini tampaknya merupakan versi kedua dari malware Android StrongPity, dibandingkan dengan versi pertamanya, ia juga menyalahgunakan layanan aksesibilitas dan akses pemberitahuan, menyimpan data yang dikumpulkan dalam database lokal, mencoba menjalankan perintah su, dan untuk sebagian besar pengumpulan data menggunakan modul yang diunduh.
|
Baca lainnya: |
Sumber berita:
