TEKNO.pemkab.comPeretas menargetkan pengguna Android dengan aplikasi obrolan video Shagle palsu

Grup peretasan StrongPity APT mendistribusikan aplikasi obrolan Shagle palsu, yang merupakan versi trojan dari aplikasi Telegram untuk Android dengan pintu belakang tambahan.

Shagle adalah platform obrolan video acak legal yang memungkinkan orang asing berbicara melalui saluran komunikasi terenkripsi. Namun, platform ini sepenuhnya berbasis web dan tidak menawarkan aplikasi seluler.

StrongPity telah ditemukan sejak 2021 menggunakan situs web palsu yang meniru situs Shagle asli untuk mengelabui korban agar mengunduh Android jahat.

Setelah diinstal, program ini memungkinkan peretas untuk memata-matai target korban, termasuk memantau panggilan telepon, mengumpulkan pesan teks, dan mengambil daftar kontak.

Peretas menargetkan pengguna Android dengan aplikasi obrolan video Shagle palsu
Situs sebenarnya ada di sebelah kiri. Situs palsu ada di sebelah kanan
Sumber: ESET

Juga dikenal sebagai Promethium atau APT-C-41, StrongPity sebelumnya dikaitkan dengan kampanye yang mendistribusikan penginstal Notepad++ Trojan dan versi berbahaya dari WinRAR dan TrueCrypt untuk menginfeksi target dengan malware.

Aktivitas terbaru StrongPity ditemukan oleh peneliti ESET, yang mengaitkan kampanye tersebut dengan kelompok spionase APT berdasarkan kemiripan kode dengan muatan sebelumnya.

Selain itu, aplikasi Android ditandatangani dengan sertifikat yang sama dengan yang digunakan APT untuk menandatangani aplikasi yang meniru aplikasi Android e-gov Suriah pada kampanye 2021.

Melakukan trojan pada aplikasi Android Telegram

Malware Android yang didistribusikan oleh StrongPity adalah file APK bernama “video.apk”, aplikasi Telegram standar versi 7.5.0 (Februari 2022) yang dimodifikasi untuk meniru aplikasi seluler Shagle.

ESET tidak dapat menentukan bagaimana korban mencapai situs Shagle palsu, tetapi kemungkinan melalui email spear phishing, smishing (SMS phishing) atau pesan instan di platform online.

APK berbahaya disediakan langsung dari situs Shagle palsu dan tidak pernah tersedia di Google Play.

ESET mengatakan situs yang dikloning pertama kali muncul online pada November 2021, sehingga APK kemungkinan telah aktif didistribusikan sejak saat itu. Namun Diagnosis terkonfirmasi pertama Itu datang di alam liar pada Juli 2022.

Salah satu kelemahan menggunakan Telegram sebagai basis program palsu grup peretas adalah jika korban sudah menginstal aplikasi Telegram asli di ponselnya, versi backend tidak akan diinstal.

Malware tidak diinstal karena Telegram sudah diinstal
Malware tidak diinstal karena Telegram sudah diinstal
Sumber: ESET

Saat ini, ID API yang digunakan dalam sampel yang direkam telah dibatasi karena terlalu sering digunakan, sehingga program trojan tidak lagi menerima pendaftaran pengguna baru. Oleh karena itu, pintu belakang tidak akan berfungsi.

ESET percaya ini menunjukkan bahwa StrongPity telah berhasil menargetkan malware pada korban.

Pintu belakang dirancang untuk memata-matai korban

Setelah diinstal, malware meminta akses ke layanan akses dan kemudian mengambil file terenkripsi AES dari server perintah dan kontrol penyerang.

File ini berisi 11 modul biner yang diekstraksi pada mesin dan digunakan oleh pintu belakang untuk melakukan berbagai fungsi berbahaya.

Ambil 11 modul dari C2
11 modul diambil dari C2
Sumber: ESET

Setiap modul melakukan fungsi mata-mata dan diaktifkan bila diperlukan. Daftar lengkap modul spyware berbahaya tercantum di bawah ini:

  • libarm.jar – merekam panggilan telepon
  • libmpeg4.jar – mengumpulkan teks pesan notifikasi yang diterima dari 17 program
  • local.jar – mengumpulkan daftar file (pohon file) pada perangkat
  • phone.jar – Menggunakan layanan aksesibilitas untuk memata-matai aplikasi perpesanan menggunakan nama kontak, pesan obrolan, dan tanggal.
  • resources.jar – mengumpulkan pesan SMS yang disimpan di perangkat
  • services.jar – Mendapatkan lokasi perangkat
  • systemui.jar – mengumpulkan informasi perangkat dan sistem
  • timer.jar – mengumpulkan daftar program yang diinstal
  • toolkit.jar – mengumpulkan daftar kontak
  • watchkit.jar – mengumpulkan daftar akun perangkat
  • wearkit.jar – mengumpulkan daftar log panggilan

Data yang dikumpulkan disimpan dalam direktori aplikasi, dienkripsi dengan AES, dan akhirnya dikirim ke server perintah dan kontrol penyerang.

Dengan memanfaatkan layanan aksesibilitas, malware ini dapat membaca konten notifikasi dari Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail, dan lainnya.

Program Trojan meminta izin berbahaya
Program Trojan meminta izin berbahaya
Sumber: ESET

Pada perangkat yang di-root di mana pengguna normal memiliki hak administrator, malware secara otomatis memungkinkan dirinya untuk membuat perubahan pada pengaturan keamanan, menulis ke sistem file, melakukan reboot, dan melakukan tindakan berbahaya lainnya.

Grup peretasan StrongPity telah aktif sejak 2012 dan biasanya menyembunyikan pintu belakang di penginstal perangkat lunak yang sah. Menurut laporan ESET, pelaku ancaman masih menggunakan taktik yang sama setelah satu dekade.

Pengguna Android harus waspada terhadap file APK di luar Google Play dan memperhatikan permintaan izin saat memasang aplikasi baru.