GORONTALOPOST - Perusahaan keamanan siber, CYFIRMA, baru-baru ini mengumumkan penemuan mereka terhadap aplikasi Android yang mencurigakan di Google Play Store.
Aplikasi ini ditemukan memiliki karakteristik malware dan dikaitkan dengan Grup Ancaman Persisten Tingkat Lanjut yang dikenal sebagai "DoNot".
Grup ini sebelumnya telah menargetkan individu di wilayah Kashmir, India, namun kini telah mengalihkan fokusnya ke individu di Pakistan.
Dalam analisis teknis, CYFIRMA mengungkapkan bahwa aplikasi ini memiliki muatan stager yang bertujuan untuk mengumpulkan informasi pada tahap awal serangan.
Informasi yang terkumpul kemudian digunakan untuk serangan tahap kedua menggunakan malware yang lebih berbahaya.
Tiga aplikasi yang diidentifikasi oleh CYFIRMA dalam akun Google Play Store "SecurITY Industry" adalah Device Basic Plus, nSure Chat, dan iKHfaa VPN.
Dari ketiga aplikasi tersebut, nSure Chat dan iKHfaa VPN menunjukkan karakteristik berbahaya.
Para pelaku ancaman ini cerdik dalam menyembunyikan aplikasi berbahaya mereka.
Mereka menggunakan pustaka Android yang sah untuk mengekstrak informasi pribadi dari korban yang telah disusupi.
Bahkan, iKHfaa VPN menyalin kode dari penyedia layanan VPN yang sah dan menambahkan perpustakaan tambahan untuk aktivitas jahat.
CYFIRMA juga mengungkapkan bahwa pelaku ancaman menggunakan metode enkripsi AES/CBC/PKCS5PADDING dan teknik obfuscation Proguard untuk menyamarkan sifat berbahaya aplikasi.
Temuan ini menunjukkan bahwa akun Google Play Store yang menghosting aplikasi ini terhubung dengan grup Advanced Persistent Threat (APT) "DoNot".
Penggunaan metode enkripsi dan nama file yang mirip dengan sampel malware Android sebelumnya menghubungkan aplikasi ini dengan DoNot.
Meskipun target spesifik yang dituju oleh malware Android ini di Pakistan sebagian besar belum diketahui, namun berdasarkan karakteristik dan akses malware, dapat disimpulkan bahwa pelaku ancaman bertujuan untuk mengumpulkan informasi yang dapat digunakan untuk serangan masa depan menggunakan malware yang lebih canggih.
DoNot sebelumnya menggunakan taktik serangan spear phishing dengan menggunakan dokumen Word berbahaya.
Namun, perubahan strategi terbaru menunjukkan penekanan pada penipuan melalui platform pesan seperti Telegram atau WhatsApp yang pada akhirnya mengarahkan korban untuk menginstal aplikasi berbahaya dari Google Play Store.
Dengan memanfaatkan kepercayaan pengguna terhadap Google Play Store, para pelaku ancaman ini dapat meningkatkan peluang keberhasilan dalam menyusupkan aplikasi berbahaya.
Meskipun Play Store memiliki pemeriksaan izin yang ketat, aplikasi berbahaya semacam ini tetap berupaya untuk melewati pengawasan keamanan. (jpg)
Editor : Tina Mamangkey