Cyberthreat.id – Peneliti dari Lab52 mengaitkan salah satu malware android yang tidak dikenal dengan grup peretasan Turla. Hal ini setelah peneliti menemukan bahwa aplikasi tersebut menggunakan infrastruktur yang sebelumnya dikaitkan dengan pelaku ancaman.

Turla merupakan kelompok peretasan yang didukung negara Rusia yang dikenal menggunakan malware khusus untuk menargetkan sistem Eropa dan Amerika, terutama untuk spionase. Pelaku ancaman ini dikaitkan dengan backdoor Sunburst yang digunakan dalam serangan supply chains ke SolarWinds pada Desember 2020.

Dikutip dari Bleeping Computer, peneliti berhasil mengidentifikasi APK berbahaya [VirusTotal] bernama “Process Manager”. Aplikasi ini bertindak sebagai spyware Android, mengunggah informasi ke pelaku ancaman.

Meskipun tidak jelas bagaimana spyware didistribusikan, setelah diinstal, Process Manager mencoba bersembunyi di perangkat Android menggunakan ikon berbentuk roda gigi, berpura-pura menjadi komponen sistem. Setelah diluncurkan aplikasi akan meminta pengguna untuk mengizinkannya menggunakan 18 izin, seperti akses lokasi, akses status wifi, kamera, layanan latar depan, internet, mengubah pengaturan audio, membaca log panggilan, membaca kontak, membaca dan mengubah penyimpanan eksternal, membaca status ponsel, membava sms, dll.

“Izin ini merupakan risiko serius terhadap privasi karena memungkinkan aplikasi untuk mendapatkan lokasi perangkat, mengirim dan membaca teks, mengakses penyimpanan, mengambil gambar dengan kamera, dan merekam audio,” ungkap peneliti Lab52.

Namun, masih tidak jelas apakah malware menyalahgunakan layanan Aksesibilitas Android untuk memberikan izin pada dirinya sendiri, atau justru mengelabui pengguna untuk menyetujui permintaan.

Peneliti mengatakan, setelah menerima izin, spyware menghapus ikonnya dan berjalan di latar belakang hanya dengan pemberitahuan permanen yang menunjukkan keberadaannya. Aspek ini dinilai cukup aneh untuk spyware yang biasanya berusaha untuk tetap tersembunyi dari korban, terutama jika ini adalah pekerjaan dari kelompok APT (Advanced Persistent Threat) yang canggih.

Selanjutnya, informasi yang dikumpulkan oleh perangkat, termasuk daftar, log, SMS, rekaman, dan pemberitahuan acara, dikirim dalam format JSON ke server perintah dan kontrol di 82.146.35[.]240. Meski demikian, metode distribusi APK tidak diketahui, tetapi jika Turla, mereka biasanya menggunakan rekayasa sosial, phishing, serangan lubang air, dll., Jadi bisa apa saja.

Saat meneliti aplikasi ini, tim Lab52 juga menemukan bahwa ia mengunduh muatan tambahan ke perangkat dan menemukan aplikasi lain yang diambil langsung dari Play Store. Aplikasi ini bernama “Roz Dhan: Earn Wallet cash”, yang merupakan aplikasi populer dengan 10 juta unduhan yang menampilkan sistem rujukan penghasil uang.

Peneliti menyebutkan, Spyware dilaporkan mengunduh APK melalui sistem rujukan aplikasi, kemungkinan mendapatkan komisi. Hal ini agak mencurigakan, mengingat aktor tertentu berfokus pada spionase siber.

“Selain implementasi spyware Android yang tampaknya tidak canggih, membuat kami percaya bahwa C2 yang dianalisis oleh Lab52 mungkin merupakan bagian dari infrastruktur bersama,” tutup peneliti.[]

Editor: Yuswardi A. Suud