Waspada! Malware Android Menyamar Jadi Google, Instagram, WhatsApp, dan X untuk Mencuri Data Pribadi

Liputan6.com, Jakarta - Hacker semakin canggih melancarkan serangan siber terhadap para korban mereka. Kali ini, pelaku menggunakan aplikasi Android.

Hacker kedapatan menyamarkan aplikasi Android rawan sebagai Google, Instagram, Snapchat, WhatsApp, dan X (sebelumnya Twitter).

Disebutkan, penjahat siber nan membikin aplikasi Android rawan ini mempunyai keahlian untuk mencuri kredensial pengguna dari perangkat nan disusupi.

"Malware ini menggunakan iklon aplikasi Android terkenal untuk mengelabui korban agar memasang aplikasi rawan di perangkat mereka," mengutip laporan tim peneliti SonicWall Capture Labs via The Hacker News, Minggu (12/5/2024).

Tim peneliti keamanan siber mengatakan, setelah aplikasi diinstal pada ponsel pengguna, aplikasi tersebut meminta mereka untuk memberikan izin ke jasa aksesibilitas.

"Tak hanya itu, malware ini juga meminta izin API pengurus perangkat, sebuah fitur sekarang tidak digunakan lagi dan menyediakan fitur manajemen perangkat pada tingkat sistem," katanya.

Setelah mendapatkan izin ini, pelaku dapat mengambil alih kendali atas perangkat, sehingga memungkinkan mereka mencuri data pengguna hingga penyebaran malware tanpa diketahui korban.

Malware ini dirancang untuk menjalin hubungan dengan server perintah-dan-kontrol (C2) untuk menerima perintah untuk dieksekusi, memungkinkannya mengakses daftar kontak, pesan SMS, log panggilan, daftar aplikasi diinstal; mengirim pesan SMS; buka laman phishing di browser web, dan aktifkan senter kamera.

"Agar dapat menipu korban, URL phishing dibuat untuk meniru laman login jasa terkenal seperti Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, X, dan banyak lagi," tulis peneliti.

Di sisi lain, hacker nan didukung negara Iran, diduga sebagai golongan APT42, menggunakan serangan rekayasa sosial, termasuk menyamar sebagai jurnalis.

Tujuannya untuk menembus jaringan perusahaan dan lingkungan cloud nan menjadi sasaran di negara-negara Barat dan Timur Tengah.

APT42 pertama kali didokumentasikan oleh perusahaan keamanan siber Mandiant pada September 2022, nan melaporkan bahwa pelaku ancaman itu aktif sejak 2015--melakukan setidaknya 30 operasi di 14 negara.

Kelompok hacker atau spionase nan diyakini berafiliasi dengan Organisasi Intelijen Korps Garda Revolusi Islam (IRGC-IO) Iran tersebut diketahui menargetkan organisasi non-pemerintah, media, lembaga pendidikan, aktivis, dan jasa hukum.

Mengutip BleepingComputer, Selasa (7/5/2024), analis keamanan Google nan meneliti operasi APT42 melaporkan bahwa peretas menggunakan email rawan berisi malware untuk menginfeksi sasaran mereka dengan dua backdoor khusus, ialah "Nicecurl" dan "Tamecat".

Serangan APT42 mengandalkan rekayasa sosial dan spear-phishing, dengan tujuan akhir menginfeksi perangkat sasaran dengan backdoor khusus, sehingga memungkinkan pelaku serangan siber mendapatkan akses awal ke jaringan organisasi.

Serangan dimulai dengan email dari orang-orang nan menyamar sebagai jurnalis, perwakilan LSM, alias penyelenggara aktivitas nan dikirim dari domain nan "typosquat" (menggunakan URL serupa) dengan domain organisasi resmi.

Organisasi media nan ditiru oleh APT42 termasuk Washington Post (AS), The Economist (Inggris), The Jerusalem Post (IL), Khaleej Times (UEA), dan Azadliq (Azerbaijan).

Mandiant menyatakan bahwa serangan tersebut sering menggunakan domain nan salah ketik seperti "washinqtonpost[.]press".

Setelah penyerang berganti komunikasi nan cukup untuk membangun kepercayaan dengan korban, mereka mengirimkan tautan ke arsip mengenai konvensi alias tulisan berita, berjuntai pada topik nan dipilih.

Mengklik tautan tersebut mengarahkan sasaran ke laman login tiruan nan meniru jasa terkenal seperti Google dan Microsoft alias apalagi platform unik nan berangkaian dengan bagian kerja korban.

Situs phishing ini tidak hanya mengambil kredensial akun korban tetapi juga token otentikasi multi-faktor (multi-factor authentication/MFA).

Setelah mencuri semua info nan diperlukan untuk membajak akun korban, para peretas menyusup ke jaringan perusahaan alias lingkungan cloud dan mengumpulkan info sensitif seperti email dan dokumen.

Google melaporkan untuk menghindari penemuan dan menyatu dengan jaringan, APT42 membatasi tindakannya pada fitur bawaan perangkat cloud nan dapat diaksesnya, menghapus riwayat Google Chrome setelah meninjau dokumen, dan menggunakan alamat email nan tampaknya milik organisasi korban untuk mengekstrak file ke akun OneDrive.

Selain itu, APT42 menggunakan node ExpressVPN, domain nan dihosting Cloudflare, dan server VPS sementara selama berinteraksi dengan jaringan korban, sehingga mempersulit atribusi. 

APT42 menggunakan dua backdoor unik berjulukan Nicecurl dan Tamecat, masing-masing dirancang untuk kegunaan spesifik dalam operasi spionase bumi maya.

Nicecurl adalah backdoor berbasis VBScript nan bisa melakukan eksekusi perintah, mengunduh dan mengeksekusi muatan tambahan, alias melakukan penambangan info pada host nan terinfeksi.

Sementara Tamecat merupakan backdoor PowerShell nan lebih kompleks, di mana dapat mengeksekusi kode PS alias skrip C# sewenang-wenang, memberikan banyak elastisitas operasional pada APT42 untuk melakukan pencurian info dan manipulasi sistem nan ekstensif.