Cyberthreat.id – Peneliti keamanan dari Cyfirma mengungkapkan bahwa pihaknya menemukan paket instalasi Android (android package kit) berbahaya telah terlihat menargetkan personel pertahanan India setidaknya sejak Juli 2021.

Dikutip dari Info Security Magazine, menurut peneliti file APK (android package kit), dalam hal ini, adalah salinan surat promosi ke peringkat “Subs Naik”. Setelah korban menjadi mangsa APK berbahaya ini, dan setelah penginstalan, aplikasi ini muncul sebagai ikon aplikasi Adobe Reader (mirip) di perangkat. Setelah diinstal, aplikasi meminta beberapa izin, termasuk kamera, mikrofon, internet, dan penyimpanan.

“Akses ke salah satu dari ini bisa berbahaya dan bencana bagi keamanan nasional," tulis Cyfirma.

Penelitian lebih lanjut dari perusahaan mengungkapkan bahwa pelaku ancaman di balik alat tersebut menggunakan varian Spymax RAT (trojan akses jarak jauh), alat yang kode sumbernya sudah tersedia di forum bawah tanah.

Spymax menawarkan build paket android yang berbeda – dan salah satu build memiliki fitur tampilan web yang memungkinkan pelaku ancaman untuk menyuntikkan tautan web apa pun ke modul tampilan web. Setelah penginstalan APK yang dihasilkan berhasil, itu mengambil bentuk aplikasi Android yang sebenarnya.

Dalam serangan yang diamati oleh Cyfirma, pelaku ancaman menggunakan tautan Google Drive yang menunjuk ke file PDF yang berisi daftar personel pertahanan India yang dianugerahi promosi ke peringkat yang lebih tinggi. Tautan tersebut dilaporkan dibagikan melalui WhatsApp.

“Karena targetnya secara khusus adalah personel pertahanan dan karena kampanye telah berjalan cukup lama, diduga kelompok aktor ancaman negara-bangsa berada di belakang serangan untuk mengekstrak informasi sensitif,” tulis perusahaan keamanan itu.

Pada saat yang sama, berdasarkan data yang dianalisis, tim peneliti mengatakan mereka tidak dapat mengaitkan serangan saat ini dengan kelompok aktor ancaman negara-bangsa tertentu. Karena situasi geopolitik yang berlaku saat ini di Asia Selatan dan wilayah sekitarnya, India terus-menerus menghadapi serangan siber agresif dari tetangga yang dicurigai.

“Saat ini, tanpa bukti kuat, kami tidak dapat mengaitkan dan menghubungkan aktor ancaman negara-bangsa mana pun yang berada di balik serangan ini,” kata peneliti.

Laporan Cyfirma ini terbit kira-kira sebulan setelah situs web pemberitahuan pelanggaran data Leakbase mengklaim seseorang meretas Platform Swachhata di India dan mencuri 16 juta catatan pengguna.