FinTechnesia.com | Kejahatan siber semakin canggih. Kabar pencurian 91 juta data pengguna Tokopedia menjadi contoh terbaru. Nah, peneliti Kaspersky mendeteksi kampanye canggih berbahaya yang menargetkan pengguna perangkat Android.
Dijuluki sebagai PhantomLance, kampanye ini telah aktif setidaknya sejak tahun 2015 dan masih berlangsung hingga kini. Menampilkan beberapa versi spyware yang kompleks, ancaman ini bekerja dengan perangkat lunak untuk mengumpulkan data korban. Memiliki taktik distribusi cerdas, termasuk distribusi melalui puluhan aplikasi di pasar resmi Google Play.
Pada Juli 2019, peneliti keamanan pihak ketiga melaporkan sampel spyware baru di Google Play. Laporan tersebut menarik perhatian Kaspersky. Berbagai fiturnya yang tidak terduga dan tingkat kecanggihan hingga perilaku berbeda dari Trojan umum yang biasa diunggah ke toko aplikasi resmi. Peneliti Kaspersky dapat menemukan sampel lain yang sangat mirip dari malware ini di Google Play.
Jika pembuat malware berhasil mengunggah aplikasi berbahaya di toko aplikasi, biasanya mereka menginvestasikan sumber daya cukup besar untuk mempromosikan aplikasi dan meningkatkan jumlah instalasi. Sehingga dapat meningkatkan jumlah korban.Namun lain halnya dengan aplikasi berbahaya yang baru ditemukan ini.
Fungsionalitas semua sampel hampir serupa – tujuan utama spyware adalah untuk mengumpulkan informasi. Selain mengumpulkan data mulai dari geolokasi, log panggilan, akses kontak dan SMS, aplikasi juga dapat mengumpulkan daftar aplikasi yang diinstal, serta informasi perangkat, seperti model dan versi OS. Juga mengunduh dan mengeksekusi berbagai muatan berbahaya.
PhantomLance banyak didistribusikan di berbagai platform dan pasar (marketplace). Termasuk, namun tidak terbatas pada, Google Play dan APKpure. Untuk membuat aplikasi tampak sah, hampir setiap kasus penyebaran malware para pelaku ancaman mencoba membangun profil pengembang palsu dengan membuat akun Github terkait.
Versi pertama aplikasi yang diunggah oleh aktor ancaman ke pasar tidak mengandung muatan berbahaya apa pun. Namun, dengan pembaruan selanjutnya, aplikasi menerima muatan berbahaya dan kode untuk menjalankannya.
Menurut Kaspersky Security Network, sejak tahun 2016, sekitar 300 upaya infeksi pada perangkat Android di India, Vietnam, Bangladesh dan Indonesia. Sementara statistik deteksi termasuk infeksi kolateral, Vietnam menonjol sebagai salah satu negara teratas dengan jumlah upaya serangan; beberapa aplikasi berbahaya malware Kaspersky – sebuah alat internal untuk menemukan kesamaan antara potongan kode berbahaya yang berbeda.
Para peneliti menyimpulkan muatan PhantomLance setidaknya 20% mirip salah satu kampanye lama Android yang terkait OceanLotus, aktor ancaman yang telah beroperasi setidaknya sejak tahun 2013 dan menargetkan sebagian besar lokasi di Asia Tenggara. Selain itu, beberapa tumpang tindih penting ditemukan dengan OceanLotus yang dilaporkan sebelumnya pada Windows dan MacOS. Dengan demikian, para peneliti Kaspersky percaya bahwa kampanye PhantomLance dapat dikaitkan dengan OceanLotus.
Kaspersky telah melaporkan seluruh sampel yang ditemukan kepada para pemiliki toko aplikasi yang sah. Google Play mengonfirmasi mereka telah menghapus aplikasi. “Kampanye ini adalah contoh luar biasa tentang bagaimana aktor ancaman melangkah lebih jauh dan menjadi lebih sulit ditemukan,” komentar Alexey Firsh, peneliti keamanan di Kaspersky GReAT Team, pekan lalu. (yof)