Cyberthreat.id - Serangkaian aplikasi Android yang tampaknya tidak berbahaya telah menginfeksi pengguna Israel dengan spyware sejak 2018 dan terus berlanjut hingga hari ini.

Aplikasi dengan kemampuan memata-matai targetnya (spyware) ditemukan oleh para peneliti di Qihoo 360, peneliti keamanan internet asal Tiongkok.

Dalam temuannya, Qihoo 360 mengatakan berbagai aplikasi itu menyamar sebagai aplikasi sosial seperti Threema, Radio Al-Aqsa, Masjid Al-Aqsa, Panduan Yerusalem, penampil PDF, Wire, dan aplikasi lainnya.

Aplikasi yang paling sering disalahgunakan adalah aplikasi yang berpura-pura menjadi Threema, aplikasi pesan instan terenkripsi ujung ke ujung.


Sejumlah aplikasi berisi spyware menargetkan warga Israel.  Beberapa meniru aplikasi asli. 

Cara Aplikasi Menginfeksi Perangkat

Bagaimana aplikasi menginfeksi perangkat? Para peneliti percaya, pintu masuknya memanfaatkan Facebook atau pesan WhatsApp. Calon korban kemudian diarahkan ke situs web yang menghosting APK dan menawarkannya untuk diunduh.

Dalam beberapa kasus, pesan berisi tautan Google Drive ke dokumen PDF rahasia dikesankan seolah-olah berisi informasi penting.

Target kemudian didesak untuk mengunduh APK yang berpura-pura menjadi versi seluler dari Adobe Reader, tetapi sebenarnya adalah spyware.

Kumpulan Spyware yang Luas

Para peneliti menganalisis berbagai sampel dan menemukan bahwa penyerang menggunakan berbagai macam malware yang berbeda untuk serangan ini, termasuk SpyNote, Mobihok, WH-RAT, dan 888RAT. Ini semua adalah spyware komersial dengan fungsionalitas yang kuat, termasuk:

- eksfiltrasi file
- rekaman panggilan
- pelacakan lokasi
- pencatatan kunci
- pengambilan foto dan video
- rekaman waktu nyata
- manajemen clipboard
- phishing
- eksekusi perintah shell

Dalam lebih sedikit kasus, Metasploit dan EsecretRAT ditemukan di APK. Pada kedua kesempatan, para aktor telah menerapkan kode kustom tambahan di atas alat sumber terbuka.

EsecretRAT didasarkan pada aplikasi ChatApp dan merupakan alat spyware baru yang mampu mengekstrak daftar kontak, SMS, IMEI, info lokasi, alamat IP, dan semua foto yang disimpan di perangkat.

Tanda-tanda Kerjaan Hacker Hamas

Qihoo 360 percaya bahwa 'APT-C-23', sebuah kelompok yang didukung Hamas, berada di balik serangan dan telah berulang kali dikaitkan dengan kampanye penargetan Israel di masa lalu.

Pada Oktober 2020, mereka ditemukan karena menggunakan spyware Android yang disamarkan sebagai Threema dan Telegram terhadap perangkat di Israel.

Beberapa bulan sebelumnya, mereka memancing tentara Israel melalui aplikasi spyware khusus yang dibuat untuk terlihat  sebagai aplikasi kencan yang sah.

Untuk kampanye ini, yang telah berlangsung selama tiga tahun, para peneliti mencatat bahwa atribusi mungkin tipis, tetapi kesamaan dengan kampanye APT-C-23 sebelumnya sangat kuat.

Bagi yang telah mengunduh Threema, Telegram, PDF viewer, Radio Al-Aqsa, Masjid Al-Aqsa, dan Panduan Yerusalem dari situs mana pun selain Google Play Store, disarankan untuk segera menghapus aplikasi dan memindai perangkat dengan program antivirus.[]