Cyberthreat.id - Perusahaan keamanan siber Lookout merilis temuannya tentang adanya dua malware yang disisipkan dalam sejumlah aplikasi Android bikinan kelompok pro-India yang digunakan untuk memata-matai musuh dalam konflik dengan Pakistan.

Diumumkan pada Selasa (10 Februari 2021), seperti dilansir dari ZDNet,  Lookout mengatakan dua jenis malware, yang dijuluki Hornbill dan SunBird, telah dikaitkan dengan Confusius, sebuah kelompok ancaman yang dianggap disponsori negara (APT) India.

Pertama kali terdeteksi pada tahun 2013, Confusius telah dikaitkan dengan serangan terhadap entitas pemerintah di Asia Tenggara, serta serangan yang menargetkan personel militer Pakistan, pejabat pemilu di Kashmir, dan lembaga nuklir.

Menurut Lookout, secara khusus, malware tampaknya difokuskan pada upaya peretasan platform perpesanan Whatsapp dan mengeksfiltrasi konten percakapan.

Analisis tim  malware menunjukkan bahwa Hornbill didasarkan pada MobileSpy, aplikasi penguntit komersial untuk memantau perangkat Android dari jarak jauh yang telah dihentikan pada tahun 2018. Namun, SunBird tampaknya memiliki basis kode yang mirip dengan BuzzOut, sebuah spyware lama yang dikembangkan di India.

Confucius diketahui telah menggunakan ChatSpy untuk tujuan pengawasan pada tahun 2017, tetapi Hornbill dan SunBird diperkirakan sudah duluan hadir. Tampaknya tidak ada kampanye baru yang menggunakan SunBird, yang diyakini dalam pengembangan aktif antara 2016 dan awal 2019; Namun, Hornbill telah ditemukan dalam gelombang serangan sejak Desember 2020.

Apurva Kumar, staf Intelijen Keamanan di Lookout, mengatakan bahwa kedua bentuk spyware menyalahgunakan layanan aksesibilitas Android untuk menjarah Whatsapp demi mendapatkan informasi dan mengekstrak konten tanpa memerlukan akses root atau perangkat yang di-jailbreak.

Aplikasi seluler yang berisi malware tampaknya dihosting di luar Google Play dan ditawarkan sebagai paket perangkat lunak termasuk "Kerangka Keamanan Google" palsu, agregator berita lokal, aplikasi terkait Islam, dan perangkat lunak dengan tema olahraga. Menurut Lookout, sebagian besar aplikasi berbahaya ini tampaknya menargetkan populasi Muslim.

Hornbill dan SunBird memiliki pendekatan berbeda dalam memata-matai. Hornbill digambarkan sebagai "alat pengawasan rahasia" yang dirancang untuk secara selektif mencuri data yang menarik bagi operatornya, sedangkan SunBird berisi fungsi Trojan Akses Jarak Jauh (RAT), yang memungkinkan penyebaran tambahan malware dan pembajakan jarak jauh.

Kedua varian malware, bagaimanapun, dapat mencuri data termasuk pengenal perangkat, log panggilan, catatan suara WhatsApp, daftar kontak, dan informasi lokasi GPS. Selain itu, mereka dapat meminta hak istimewa administrator pada perangkat yang disusupi, mengambil tangkapan layar dan foto, dan merekam audio baik saat panggilan berlangsung atau hanya sebagai kebisingan lingkungan.

Kemampuan SunBird melampaui Hornbill karena malware ini juga mampu mengambil riwayat browser, informasi kalender, konten BlackBerry Messenger (BBM), dan konten WhatsApp yang lebih luas termasuk dokumen, database, dan gambar. SunBird juga akan mencoba mengunggah data yang dicuri ke server command-and-control (C2) yang dikuasai peretas pada interval yang lebih teratur daripada Hornbill.

Namun, Hornbill mampu mendeteksi dan merekam panggilan WhatsApp aktif dengan menyalahgunakan fungsi aksesibilitas Android.

"Pengungkitan layanan aksesibilitas Android dengan cara ini adalah tren yang sering kami amati dalam spyware Android, menghindari kebutuhan untuk peningkatan hak istimewa pada perangkat," kata para peneliti.[]