image featured from : unsplash.com
Dikutip dari techradar, Kamis (24/11/2022) Grup tentara bayaran dunia maya yang terkenal menyuntikkan perangkat Android dengan spyware untuk mencuri percakapan pengguna, penelitian ESET baru (terbuka di tab baru) telah ditemukan.
Serangan malware ini diluncurkan melalui aplikasi VPN Android palsu, dengan bukti yang menunjukkan bahwa peretas menggunakan versi berbahaya dari perangkat lunak SecureVPN, SoftVPN, dan OpenVPN.
Dikenal sebagai Bahamut ATP, grup ini dianggap sebagai layanan sewaan yang biasanya meluncurkan serangan melalui pesan phishing tombak dan aplikasi palsu. Menurut laporan sebelumnya, peretasnya telah menargetkan organisasi dan individu di Timur Tengah dan Asia Selatan sejak 2016.
Diperkirakan dimulai pada Januari 2022, peneliti ESET percaya bahwa kampanye grup untuk mendistribusikan VPN berbahaya saat ini masih berlangsung.
Dari email phishing hingga VPN palsu
“Kampanye tersebut tampaknya sangat ditargetkan, karena kami tidak melihat contoh dalam data telemetri kami,” kata Lukáš Štefanko, peneliti ESET yang pertama kali menemukan malware tersebut.
“Selain itu, aplikasi meminta kunci aktivasi sebelum fungsi VPN dan spyware dapat diaktifkan. Kunci aktivasi dan tautan situs web kemungkinan dikirim ke pengguna yang ditargetkan.”
Štefanko menjelaskan bahwa, setelah aplikasi diaktifkan, peretas Bahamut dapat mengontrol spyware dari jarak jauh. Ini berarti mereka dapat menyusup dan memanen banyak data sensitif pengguna.
Eksfiltrasi data dilakukan melalui fungsi keylogging malware, yang menyalahgunakan layanan aksesibilitas, katanya.
Dari pesan SMS, log panggilan, lokasi perangkat, dan detail lainnya, bahkan hingga aplikasi perpesanan terenkripsi seperti WhatsApp, Telegram, atau Signal, penjahat dunia maya ini dapat memata-matai apa saja yang mereka temukan di perangkat korban tanpa mereka sadari.
ESET mengidentifikasi setidaknya delapan versi dari layanan VPN trojanaized ini, yang berarti bahwa kampanye tersebut terpelihara dengan baik.
Perlu dicatat bahwa perangkat lunak berbahaya tidak pernah dikaitkan dengan layanan yang sah, dan tidak ada aplikasi yang terinfeksi malware yang dipromosikan di Google Play.
Vektor distribusi awal masih belum diketahui. Melihat kembali bagaimana Bahamut ATP biasanya bekerja, tautan berbahaya bisa saja dikirim melalui email, media sosial, atau SMS.
Apa yang kita ketahui tentang Bahamut APT?
Meski masih belum jelas siapa yang berada di belakang, Bahamut ATP tampaknya merupakan kumpulan peretas bayaran karena serangan mereka tidak benar-benar mengikuti kepentingan politik tertentu.
Bahamut secara aktif melakukan kampanye spionase dunia maya sejak 2016, terutama di Timur Tengah dan Asia Selatan.
Kelompok jurnalisme investigasi Bellingcat adalah yang pertama kali mengungkap operasi mereka pada tahun 2017, menggambarkan bagaimana kekuatan internasional dan regional secara aktif terlibat dalam operasi pengawasan semacam itu.
“Oleh karena itu Bahamut terkenal sebagai visi masa depan di mana komunikasi modern telah menurunkan hambatan bagi negara-negara kecil untuk melakukan pengawasan yang efektif terhadap pembangkang domestik dan memperluas diri mereka di luar perbatasan mereka,” tutup Bellingcat(buka di tab baru) pada saat itu.
Kelompok itu kemudian berganti nama Bahamut, setelah ikan raksasa yang mengapung di Laut Arab dijelaskan dalam Buku Makhluk Imajiner karya Jorge Luis Borges.
Baru-baru ini, investigasi lain menyoroti bagaimana grup Advanced Persistent Threat (APT) semakin mengaktifkan perangkat seluler sebagai target utama.
Perusahaan cybersecurity Cyble pertama kali melihat tren baru ini April lalu (dibuka di tab baru), mencatat bahwa kelompok Bahamut “merencanakan serangan mereka pada target, tetap di alam liar untuk sementara waktu, memungkinkan serangan mereka mempengaruhi banyak individu dan organisasi, dan akhirnya mencuri data mereka.”
Juga dalam kasus ini, peneliti menekankan kemampuan penjahat dunia maya untuk mengembangkan situs phishing yang dirancang dengan baik untuk mengelabui korban dan mendapatkan kepercayaan mereka.
Seperti yang dikonfirmasi Lukáš Štefanko untuk insiden aplikasi Android palsu: “Kode spyware, dan karenanya fungsinya, sama dengan kampanye sebelumnya, termasuk mengumpulkan data untuk diekstraksi dalam database lokal sebelum mengirimkannya ke server operator, sebuah taktik jarang terlihat di aplikasi spionase siber seluler.”
Milano – UKDW 2018
Be the first to comment