Waspada! Malware Android Menyamar Jadi Google, Instagram, WhatsApp, dan X untuk Mencuri Data Pribadi

Contoh ilustrasi phishing yang sedang marak terjadi — Salah satu ilustrasi phishing (Foto: official release Kaspersky)

Liputan6.com, Jakarta - Hacker semakin canggih melancarkan serangan siber terhadap para korban mereka. Kali ini, pelaku menggunakan aplikasi Android.

Hacker kedapatan menyamarkan aplikasi Android berbahaya sebagai Google, Instagram, Snapchat, WhatsApp, dan X (sebelumnya Twitter).

Disebutkan, penjahat siber yang membuat aplikasi Android berbahaya ini memiliki kemampuan untuk mencuri kredensial pengguna dari perangkat yang disusupi.

"Malware ini menggunakan iklon aplikasi Android terkenal untuk mengelabui korban agar memasang aplikasi berbahaya di perangkat mereka," mengutip laporan tim peneliti SonicWall Capture Labs via The Hacker News, Minggu (12/5/2024).

Tim peneliti keamanan siber mengatakan, setelah aplikasi diinstal pada ponsel pengguna, aplikasi tersebut meminta mereka untuk memberikan izin ke layanan aksesibilitas.

"Tak hanya itu, malware ini juga meminta izin API administrator perangkat, sebuah fitur kini tidak digunakan lagi dan menyediakan fitur administrasi perangkat pada tingkat sistem," katanya.

Setelah mendapatkan izin ini, pelaku dapat mengambil alih kendali atas perangkat, sehingga memungkinkan mereka mencuri data pengguna hingga penyebaran malware tanpa diketahui korban.

Malware ini dirancang untuk menjalin koneksi dengan server perintah-dan-kontrol (C2) untuk menerima perintah untuk dieksekusi, memungkinkannya mengakses daftar kontak, pesan SMS, log panggilan, daftar aplikasi diinstal; mengirim pesan SMS; buka halaman phishing di browser web, dan aktifkan senter kamera.

"Agar dapat menipu korban, URL phishing dibuat untuk meniru halaman login layanan populer seperti Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, X, dan banyak lagi," tulis peneliti.

2 dari 4 halaman

Hacker Iran Menyamar Jadi Jurnalis untuk Sebar Malware Jahat ke Negara Barat

Ilustrasi hacker. Clint Patterson/Unsplash

Di sisi lain, hacker yang didukung negara Iran, diduga sebagai kelompok APT42, menggunakan serangan rekayasa sosial, termasuk menyamar sebagai jurnalis.

Tujuannya untuk menembus jaringan perusahaan dan lingkungan cloud yang menjadi target di negara-negara Barat dan Timur Tengah.

APT42 pertama kali didokumentasikan oleh perusahaan keamanan siber Mandiant pada September 2022, yang melaporkan bahwa pelaku ancaman itu aktif sejak 2015--melakukan setidaknya 30 operasi di 14 negara.

Kelompok hacker atau spionase yang diyakini berafiliasi dengan Organisasi Intelijen Korps Garda Revolusi Islam (IRGC-IO) Iran tersebut diketahui menargetkan organisasi non-pemerintah, media, lembaga pendidikan, aktivis, dan layanan hukum.

Mengutip BleepingComputer, Selasa (7/5/2024), analis keamanan Google yang meneliti operasi APT42 melaporkan bahwa peretas menggunakan email berbahaya berisi malware untuk menginfeksi target mereka dengan dua backdoor khusus, yaitu "Nicecurl" dan "Tamecat".

Serangan APT42 mengandalkan rekayasa sosial dan spear-phishing, dengan tujuan akhir menginfeksi perangkat target dengan backdoor khusus, sehingga memungkinkan pelaku serangan siber mendapatkan akses awal ke jaringan organisasi.

Serangan dimulai dengan email dari orang-orang yang menyamar sebagai jurnalis, perwakilan LSM, atau penyelenggara acara yang dikirim dari domain yang "typosquat" (menggunakan URL serupa) dengan domain organisasi resmi.

3 dari 4 halaman

Daftar Organisasi Media yang Ditiru Hacker

Ilustrasi peretasan sistem komputer. (Sumber Pixabay)

Organisasi media yang ditiru oleh APT42 termasuk Washington Post (AS), The Economist (Inggris), The Jerusalem Post (IL), Khaleej Times (UEA), dan Azadliq (Azerbaijan).

Mandiant menyatakan bahwa serangan tersebut sering menggunakan domain yang salah ketik seperti "washinqtonpost[.]press".

Setelah penyerang bertukar komunikasi yang cukup untuk membangun kepercayaan dengan korban, mereka mengirimkan tautan ke dokumen terkait konferensi atau artikel berita, bergantung pada topik yang dipilih.

Mengklik tautan tersebut mengarahkan target ke halaman login palsu yang meniru layanan terkenal seperti Google dan Microsoft atau bahkan platform khusus yang berkaitan dengan bidang kerja korban.

Situs phishing ini tidak hanya mengambil kredensial akun korban tetapi juga token otentikasi multi-faktor (multi-factor authentication/MFA).

4 dari 4 halaman

Menyusup Jaringan

Hacker asal Rusia kabarnya mencuri data rahasia milik NSA. (Doc: Lifehacker)

Setelah mencuri semua data yang diperlukan untuk membajak akun korban, para peretas menyusup ke jaringan perusahaan atau lingkungan cloud dan mengumpulkan informasi sensitif seperti email dan dokumen.

Google melaporkan untuk menghindari deteksi dan menyatu dengan jaringan, APT42 membatasi tindakannya pada fitur bawaan alat cloud yang dapat diaksesnya, menghapus riwayat Google Chrome setelah meninjau dokumen, dan menggunakan alamat email yang tampaknya milik organisasi korban untuk mengekstrak file ke akun OneDrive.

Selain itu, APT42 menggunakan node ExpressVPN, domain yang dihosting Cloudflare, dan server VPS sementara selama berinteraksi dengan jaringan korban, sehingga mempersulit atribusi.

APT42 menggunakan dua backdoor khusus bernama Nicecurl dan Tamecat, masing-masing dirancang untuk fungsi spesifik dalam operasi spionase dunia maya.

Nicecurl adalah backdoor berbasis VBScript yang mampu melakukan eksekusi perintah, mengunduh dan mengeksekusi muatan tambahan, atau melakukan penambangan data pada host yang terinfeksi.

Sementara Tamecat merupakan backdoor PowerShell yang lebih kompleks, di mana dapat mengeksekusi kode PS atau skrip C# sewenang-wenang, memberikan banyak fleksibilitas operasional pada APT42 untuk melakukan pencurian data dan manipulasi sistem yang ekstensif.