Selular.ID – Baru-baru ini, peneliti keamanan siber mendapati beredarnya aplikasi Android palsu bernama ‘SafeChat’ Spyware Android diduga merupakan varian dari “Coverlm”, yang mencuri data dari aplikasi komunikasi seperti WhatsApp, Telegram, Signal, Viber, dan Facebook Messenger.
Peneliti Cyfirm menemukan bahwa aplikasi palsu ini berkemampuan mencuri log panggilan, teks, dan lokasi GPS dari HP Android.
Peneliti juga mengatakan kelompok peretas APT India ‘Bahamut’ berada di balik kampanye tersebut.
Dengan serangan terbaru mereka dilakukan terutama melalui pesan phishing di WhatsApp yang mengirimkan muatan berbahaya langsung ke korban.
Selain itu, analis Cyfirma menyoroti beberapa kesamaan TTP dengan kelompok ancaman lain yang disponsori negara India, ‘DoNot APT’ (APT-C-35), yang sebelumnya telah mengisi Google Play dengan aplikasi obrolan palsu yang bertindak sebagai spyware.
Akhir tahun lalu, Eset melaporkan bahwa grup Bahamut menggunakan aplikasi VPN palsu untuk platform Android yang menyertakan fungsi spyware ekstensif.
Dalam kampanye terbaru yang diamati oleh Cyfirma, Bahamut menargetkan individu di Asia Selatan.
Baca Juga:Bahaya! Ada 60.000+ Aplikasi Android Memuat Adware
Meskipun Cyfirma tidak menyelidiki secara spesifik aspek rekayasa sosial dari serangan tersebut.
Korban biasanya dibujuk untuk memasang aplikasi obrolan dengan dalih mengalihkan percakapan ke platform yang lebih aman.
Analis melaporkan bahwa Obrolan Aman menampilkan antarmuka yang menipu, yang membuatnya tampak sebagai aplikasi obrolan nyata.
Dan juga membawa korban melalui proses pendaftaran pengguna yang tampaknya sah yang menambah kredibilitas dan berfungsi sebagai penutup yang sangat baik untuk spyware.
Satu langkah penting dalam infeksi adalah perolehan izin untuk menggunakan Layanan Aksesibilitas, yang kemudian disalahgunakan untuk secara otomatis memberikan izin lebih banyak kepada spyware.
Izin tambahan ini memungkinkan spyware untuk mengakses daftar kontak korban, SMS, log panggilan, penyimpanan perangkat eksternal, dan mengambil data lokasi GPS yang akurat dari perangkat yang terinfeksi.
Aplikasi juga meminta pengguna untuk menyetujui pengecualian dari subsistem pengoptimalan baterai Android, yang menghentikan proses latar belakang saat pengguna tidak terlibat secara aktif dengan aplikasi.
Data yang dicuri dienkripsi menggunakan modul lain yang mendukung RSA, ECB, dan OAEPPadding.
Pada saat yang sama, penyerang juga menggunakan sertifikat “letsencrypt” untuk menghindari upaya penyadapan data jaringan terhadap mereka.
Meski Cyfirma tidak memberikan informasi spesifik tentang spyware tersebut, korban biasanya dibujuk untuk memasang aplikasi chat dengan dalih mengalihkan obrolan ke platform lebih aman.
Tim keamanan melaporkan, tampilan SafeChat mampu mengelabui pengguna sehingga terlihat seperti aplikasi chatting resmi dan membawa korban ke proses pendaftaran “sah”.
Baca Juga:Empat Aplikasi Android Terinfeksi Malware
Dengan melalui proses ini, pengguna Android yang awam dan tidak berhati-hati pun dapat tertipu oleh hacker dengan hal ini.
