Peneliti keamanan siber telah menemukan aplikasi Android berbahaya untuk Signal dan Telegram yang didistribusikan melalui Google Play Store dan Samsung Galaxy Store, dirancang untuk menyebarkan spyware BadBazaar ke perangkat yang terinfeksi.
Baca Juga: Mobile Banking Android di Indonesia Jadi Sasaran Empuk Serangan Trojan MMRat
Perusahaan Slovakia ESET telah menggabungkan kampanye ini dengan sebuah organisasi yang memiliki hubungan dengan Tiongkok bernama GREF.
“Kemungkinan besar aktif sejak Juli 2020 dan sejak Juli 2022, kampanye tersebut mendistribusikan kode mata-mata Android BadBazaar melalui Google Play Store, Samsung Galaxy Store, dan perangkat lain di situs web khusus yang mewakili aplikasi berbahaya Signal Plus Messenger dan FlyGram.” kata Stefanko dalam laporan baru yang dibagikan dengan The Hacker News.
Jumlah korban tertinggi terdeteksi di Jerman, Polandia, dan Amerika Serikat, diikuti oleh Ukraina, Australia, Brasil, Denmark, Kongo-Kinshasa, Hong Kong, Hongaria, Lituania, Belanda, Portugal, Singapura, dan negara-negara Barat. Yaman.
BadBazaar pertama kali direkam oleh Lookout pada November 2022, menargetkan komunitas Uighur di Tiongkok dengan aplikasi Android dan iOS yang tampaknya tidak berbahaya, yang, setelah diinstal, mengumpulkan semua jenis data termasuk log panggilan, pesan SMS, lokasi, dll. Kampanye sebelumnya, yang telah aktif setidaknya sejak tahun 2018, juga terkenal karena aplikasi Android berbahaya ini tidak pernah dirilis di Play Store. Kumpulan aplikasi terbaru telah dihapus dari toko aplikasi Google tetapi masih tersedia di Samsung Galaxy Store.
Baca Juga: Pemerintahan Indonesia Masih Jadi Sektor Yang Paling Rentan Serangan Siber
Detail aplikasinya adalah sebagai berikut:
- Signal Plus Messenger (org.thinkcrime.securesmsplus) – Lebih dari 100 unduhan per Juli 2022, juga tersedia melalui signalplus[.]org
- FlyGram (org.telegram.FlyGram) – Lebih dari 5.000 unduhan per Juni 2020, juga tersedia melalui flygram[.]org
Selain mekanisme distribusi tersebut, kemungkinan besar calon korban juga tertipu untuk menginstal aplikasi dari grup Telegram Uyghur yang didedikasikan untuk berbagi aplikasi Android. Grup ini memiliki lebih dari 1.300 anggota.
Signal Plus Messenger dan FlyGram dirancang untuk mengumpulkan dan memfilter data sensitif pengguna, di mana setiap aplikasi didedikasikan untuk mengumpulkan informasi tentang setiap aplikasi yang dikloning. Ini termasuk kemampuan untuk mengakses PIN Signal dan cadangan obrolan Telegram jika korban mengaktifkan fitur Cloud Sync pada aplikasi Trojan.
Dalam fitur baru ini, Signal Plus Messenger mewakili kasus pertama yang terdokumentasi dalam memantau komunikasi Signal korban dengan secara diam-diam menghubungkan perangkat yang disusupi ke akun Signal penyerang tanpa memerlukan interaksi pengguna apa pun.
“BadBazaar, malware spyware, melewati proses pemindaian kode QR normal dan mengklik pengguna dengan mendapatkan URI yang diperlukan dari server [perintah dan kontrol] dan segera memicu tindakan yang diperlukan saat mengklik tombol Pasangkan Perangkat,” jelas Stefanko.
“Hal ini memungkinkan malware untuk secara diam-diam menghubungkan ponsel pintar korban ke perangkat penyerang, sehingga memungkinkannya memata-matai komunikasi Signal tanpa sepengetahuan korban.”
Baca Juga: Modus Penipuan Phishing Makin Mudah Pakai Bot Telegram Terbaru “Telekopye”
Di sisi lain, FlyGram juga mengimplementasikan fitur yang disebut penyematan SSL yang melewati proses pemindaian dengan menyematkan sertifikat dalam file APK sedemikian rupa sehingga hanya memungkinkan komunikasi terenkripsi dengan sertifikat yang telah ditentukan sebelumnya, sehingga menyulitkan untuk mencegat dan menganalisis lalu lintas jaringan antar aplikasi. dan server. Pemeriksaan lebih dekat terhadap fitur Cloud Sync aplikasi mengungkapkan bahwa setiap pengguna yang mendaftar untuk layanan ini akan diberikan ID yang berbeda dan bertahap. Diperkirakan 13.953 pengguna (termasuk ESET) telah menginstal FlyGram dan mengaktifkan Cloud Sync.
ESET mengatakan pihaknya terus memantau GREF sebagai cluster terpisah meskipun ada laporan sumber terbuka yang menghubungkan kelompok tersebut dengan APT15, dengan alasan kurangnya bukti yang meyakinkan.
“Tujuan utama Bazaar adalah untuk memfilter informasi perangkat, kontak, log panggilan, dan daftar aplikasi yang diinstal, serta memantau pesan Signal dengan secara diam-diam menghubungkan aplikasi Signal Plus,” kata Štefanko.Messenger dari perangkat korban ke perangkat penyerang.”
