Senin, 15 April 2024
Selular.ID -

Waspada Aplikasi Palsu Signal dan Telegram Disusupi Spyware

BACA JUGA

Selular.ID – Waspada aplikasi palsu yang menyamar sebagai Signal dan Telegram ditemukan peneliti di Google Play Store juga Samsung Galaxy Store, yang berisi spyware BadBazaar.

Perusahaan Slovakia ESET menghubungkan kampanye tersebut dengan aktor yang memiliki hubungan dengan Tiongkok bernama GREF.

“Kemungkinan besar aktif sejak Juli 2020 dan sejak Juli 2022, kampanye tersebut telah mendistribusikan kode spionase Android BadBazaar melalui Google Play Store, Samsung Galaxy Store, dan situs web khusus yang mewakili aplikasi berbahaya Signal Plus Messenger dan FlyGram.

BadBazaar sendiri memiliki kemampuan untuk melacak lokasi perangkat secara tepat, mencuri log panggilan atau SMS, merekam panggilan telepon, mengambil gambar menggunakan kamera, mengeksfiltrasi daftar kontak, dan mencuri file atau database.

Malware ini sebelumnya pernah digunakan untuk menargetkan etnis minoritas di China, namun kali ini peneliti dari perusahaan keamanan ESET, Lukas Stefanko, menemukan penyerang menargetkan pengguna di Ukraina, Polandia, Belanda, Spanyol, Portugal, Jerman, Hong Kong, dan Amerika Serikat (AS).

Di luar mekanisme distribusi ini, dikatakan bahwa calon korban juga kemungkinan besar telah tertipu untuk menginstal aplikasi dari grup Telegram Uyghur yang berfokus pada berbagi aplikasi Android. Grup ini memiliki lebih dari 1.300 anggota.

Baca Juga:Aplikasi Manajemen File Android Mengandung Spyware

Signal Plus Messenger dan FlyGram dirancang untuk mengumpulkan dan menyaring data sensitif pengguna, dengan masing-masing aplikasi didedikasikan untuk juga mengumpulkan informasi dari masing-masing aplikasi yang mereka tiru: Signal dan Telegram.

Ini termasuk kemampuan untuk mengakses PIN Signal dan cadangan obrolan Telegram jika korban mengaktifkan fitur Cloud Sync dari aplikasi yang di trojan.

Dalam hal yang baru, Signal Plus Messenger mewakili kasus pertama yang terdokumentasi mengenai pengawasan komunikasi Signal korban dengan secara diam-diam menghubungkan perangkat yang disusupi ke akun Signal penyerang tanpa memerlukan interaksi pengguna apa pun.

BadBazaar pertama kali didokumentasikan oleh Lookout pada bulan November 2022 yang menargetkan komunitas Uyghur di Tiongkok dengan aplikasi Android dan iOS yang tampaknya tidak berbahaya.

Google menghapusnya dari 2021. Namun, kedua aplikasi ini tetap tersedia di Samsung Galaxy Store.

Dari hasil penelitian, Signal Plus Messenger dan FlyGram dibuat berdasarkan kode sumber terbuka yang tersedia dari Signal dan Telegram asli.

Malware FlyGram juga dibagikan di grup Telegram Uyghur. Aplikasi tersebut menargetkan data sensitif seperti daftar kontak, log panggilan, Akun Google, data WiFi.

Menawarkan fitur cadangan berbahaya untuk mengirimkan data komunikasi Telegram ke server yang dikendalikan penyerang.

Sementara Signal Plus Messenger, dapat memantau pesan dan kontak yang dikirim dan diterima jika orang menghubungkan perangkat yang terinfeksi ke nomor sah Signal mereka, seperti biasa ketika seseorang pertama kali menginstal aplikasi di perangkat.

Hal ini menyebabkan aplikasi palsu mengirimkan sejumlah informasi pribadi kepada penyerang.

Termasuk nomor IMEI perangkat, nomor telepon, alamat MAC, detail operator, data lokasi, informasi Wi-Fi, email untuk akun Google, daftar kontak, dan PIN yang digunakan untuk mentransfer teks jika sudah diatur oleh pengguna.

BadBazaar dapat melewati pemindaian kode QR biasa dan proses klik pengguna dengan menerima URI dari server C&C-nya, dan langsung memicu tindakan yang diperlukan ketika tombol Tautkan perangkat diklik.

Detail aplikasinya adalah sebagai berikut:
• Signal Plus Messenger (org.thinkcrime.securesmsplus) – 100+ unduhan sejak Juli 2022, juga tersedia melalui signalplus.

Baca Juga:Studi: Ponsel Cina Xiaomi dan Realme Dipenuhi Spyware

• FlyGram (org.telegram.FlyGram) – 5.000+ unduhan sejak Juni 2020, juga tersedia melalui flygram.

- Advertisement 1-

BERITA TERKAIT

BERITA PILIHAN

BERITA TERBARU