Cyberthreat.id – Meta mengungkapkan pihaknya menemukan dua kelompok APT yang saling terhubung, APT 36 dan Bitter APT menggunakan malware android terbaru dalam kampanye spionase siber.

Dikutip dari Bleeping Computer, Meta mengatakan bahwa operasi spionase ini menggunakan platform media sosial seperti Facebook untuk mengumpulkan intelijen (OSINT). Mereka juga menggunakan Facebook untuk berteman dengan korban menggunakan persona palsu dan kemudian menyeret mereka ke platform eksternal untuk mengunduh malware.

“Baik APT36 dan Bitter APT terlihat mengatur kampanye spionase siber awal tahun ini, dan mereka menggunakan malware android baru dalam kampanye mereka,” kata Meta.

Meta menjelaskan, kelompok APT36 yang disponsori negara bersekutu dengan Pakistan baru-baru ini diekspos dalam kampanye yang menargetkan pemerintah India menggunakan alat pemecah MFA. Sementara itu, Bitter APT juga diamati pada Mei 2022, menargetkan pemerintah Bangladesh dengan malware baru yang menampilkan kemampuan eksekusi file jarak jauh.

Berdasarkan laporan terbaru, Meta menjelaskan bahwa Bitter APT terlibat dalam rekayasa sosial terhadap target di Selandia Baru, India, Pakistan, dan Inggris Raya, menggunakan interaksi yang panjang dan menginvestasikan waktu dan upaya yang signifikan. Tujuan utamanya, adalah untuk menginfeksi targetnya dengan malware, dan untuk tujuan ini, ia menggunakan kombinasi layanan pemendekan URL, situs yang disusupi, dan penyedia hosting file pihak ketiga.

“Grup ini secara agresif menanggapi deteksi dan pemblokiran kami terhadap aktivitas dan infrastruktur domainnya,” kata Meta.

Sebagai contoh, Bitter akan mencoba menarik perhatian dengan memposting tautan rusak atau gambar tautan jahat. Dengan demikian orang harus mengetikkannya ke dalam browser, alih-alih langsung mengkliknya untuk menghindari pendeteksian.

Selain itu, dalam serangan terbaru, Bitter APT juga menambahkan malware baru dalam bentuk dua aplikasi seluler, yang masing-masing menargetkan pengguna iOS dan Android. Untuk versi iOS, mereka menggunakan aplikasi obrolan yang dikirimkan melalui layanan Testflight Apple, ruang pengujian untuk pengembang aplikasi. Biasanya, pelaku ancaman meyakinkan korban untuk mengunduh aplikasi obrolan ini.

Sedangkan, untuk versi android, mereka menggunakan malware baru bernama “Dracarys”, yang menyalahgunakan layanan aksesibilitas untuk memberikan dirinya sendiri peningkatan izin tanpa persetujuan pengguna. Dari sana, ia akan menyuntikkan dirinya ke berbagai aplikasi Android untuk bertindak sebagai spyware, mencuri pesan teks, menginstal aplikasi, dan merekam audio.

“APT Bitter akan menyuntikkan Dracarys ke dalam versi trojan (tidak resmi) dari YouTube, Signal, Telegram, WhatsApp, dan aplikasi obrolan khusus yang mampu mengakses log panggilan, kontak, file, pesan teks, geolokasi, informasi perangkat, mengambil foto, mengaktifkan mikrofon, dan menginstal aplikasi,” kata Meta.

Meta menggarisbawahi bahwa Dracarys lolos tanpa terdeteksi di semua mesin anti-virus yang ada, menyoroti kemampuan Bitter untuk membuat malware khusus yang tersembunyi.

Tak berbeda dengan APT Bitter, APT 36 juga menggunakan malware baru yang dikombinasikan dengan Social Engineering (rekayasa sosial) dalam melakukan serangan siber.

Meta menyebutkan, dalam aktivitas terbaru, mereka menargetkan orang-orang di Afghanistan, India, Pakistan, Uni Emirat Arab, dan Arab Saudi, dengan fokus khusus pada pejabat militer dan aktivis hak asasi manusia.

Dalam melancarkan serangannya, anggota APT36 membuat akun di Facebook yang menyamar sebagai perekrut untuk perusahaan palsu atau fiktif dan menggunakan layanan berbagi file WeTransfer untuk mengirim tawaran pekerjaan yang seharusnya ke target mereka. File yang diunduh berisi versi XploitSPY yang dimodifikasi, yang diberi nama Meta 'LazaSpy.' Modifikasi aktor termasuk implementasi yang gagal dari mekanisme penargetan yang dibatasi secara geografis.

“Selain LazaSpy, APT36 juga menggunakan Mobzsar, malware komoditas yang memungkinkan operator mengakses log panggilan, daftar kontak, SMS, data GPS, foto, dan mikrofon,” kata Meta.