ASIATODAY.ID, JAKARTA – Perusahaan keamanan siber global, Kaspersky mendeteksi kampanye kejahatan canggih dan berbahaya yang menargetkan pengguna perangkat Android.
Peneliti keamanan di Kaspersky GReAT Team melihat hal ini dapat diatribusikan kepada aktor ancaman persisten sebelumnya yang cukup tangguh yaitu OceanLotus.
Ancaman tersebut dijuluki sebagai PhantomLance, kampanye ini telah aktif setidaknya sejak 2015 dan masih berlangsung hingga kini.
Dengan menampilkan beberapa versi spyware yang kompleks, ancaman ini bekerja dengan perangkat lunak yang dibuat untuk mengumpulkan data korban, memiliki taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di pasar resmi Google Play.
“Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh ke perairan yang lebih dalam dan menjadi lebih sulit ditemukan. PhantomLance telah berlangsung selama lebih dari lima tahun dan aktor ancaman berhasil melewati filter app store beberapa kali,” jelasnya.
Pada Juli 2019, peneliti keamanan pihak ketiga melaporkan sampel spyware baru yang ditemukan di Google Play.
Laporan tersebut menarik perhatian Kaspersky karena berbagai fiturnya yang tidak terduga dan tingkat kecanggihan hingga perilaku berbeda dari Trojan umum yang biasanya diunggah ke toko aplikasi resmi.
Peneliti Kaspersky dapat menemukan sampel lain yang sangat mirip dari malware ini di Google Play. Biasanya mereka menginvestasikan sumber daya cukup besar untuk mempromosikan aplikasi dan meningkatkan jumlah instalasi sehingga dapat meningkatkan jumlah korban.
Namun, lain halnya dengan aplikasi berbahaya yang baru ditemukan ini. Sepertinya operator di belakang mereka tidak begitu tertarik dengan penyebaran massal. Bagi para peneliti, ini adalah petunjuk aktivitas APT yang ditargetkan.
Selain itu, mereka mengumpulkan data mulai dari geolokasi, log panggilan, akses kontak dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal, serta informasi perangkat, seperti model dan versi OS.
Kemudian, aktor ancaman dapat mengunduh dan mengeksekusi berbagai muatan berbahaya, dengan demikian sekaligus dapat menyesuaikan dirinya dengan perangkat tertentu, seperti versi android dan aplikasi yang diinstal.
Dengan cara ini, sang aktor dapat menghindari kelebihan aplikasi dengan fitur yang tidak perlu dan disaat yang sama juga melakukan pengumpulan informasi.
Android Rentan
Penelitian lebih lanjut menunjukkan bahwa PhantomLance banyak didistribusikan di berbagai platform dan pasar (marketplace), termasuk, namun tidak terbatas pada, Google Play dan APKpure.
Untuk membuat aplikasi tampak sah, dalam hampir setiap kasus penyebaran malware para pelaku ancaman mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.
Hal ini dilakukan untuk menghindari mekanisme penyaringan yang dilakukan oleh pasar, versi pertama aplikasi yang diunggah oleh aktor ancaman ke pasar tidak mengandung muatan berbahaya apa pun.
Namun, dengan pembaruan selanjutnya, aplikasi menerima muatan berbahaya dan kode untuk menjalankannya.
Menurut Kaspersky Security Network, sejak 2016, sekitar 300 upaya infeksi diamati pada perangkat Android di negara-negara seperti India, Vietnam, Bangladesh dan Indonesia.
Sementara statistik deteksi termasuk infeksi kolateral, Vietnam menonjol sebagai salah satu negara teratas dengan jumlah upaya serangan; beberapa aplikasi berbahaya yang digunakan dalam kampanye juga dibuat secara eksklusif dalam bahasa Vietnam.
Peneliti dapat menyimpulkan bahwa muatan PhantomLance setidaknya 20 persen mirip dengan salah satu kampanye lama Android yang terkait dengan OceanLotus, aktor ancaman yang telah beroperasi setidaknya sejak tahun 2013 dan menargetkan sebagian besar lokasi di Asia Tenggara. (ATN)