Cyberthreat.id – Grup ancaman persisten tingkat lanjut (APT) yang dikenal sebagai StrongPity telah menargetkan pengguna Android dengan versi trojan dari aplikasi Telegram melalui situs web palsu yang menyamar sebagai layanan obrolan video bernama Shagle.

"Situs peniru, meniru layanan Shagle, digunakan untuk mendistribusikan aplikasi backdoor seluler StrongPity. Aplikasi ini adalah versi modifikasi dari aplikasi Telegram sumber terbuka, dikemas ulang dengan kode backdoor StrongPity," kata peneliti malware ESET Lukáš Štefanko dalam laporan teknis seperti dilansir The Hacker News, Rabu (11/1).

StrongPity, juga dikenal dengan nama APT-C-41 dan Promethium, adalah kelompok cyberespionage yang aktif setidaknya sejak tahun 2012, dengan mayoritas operasinya berfokus pada Suriah dan Turki. Keberadaan grup tersebut pertama kali dilaporkan ke publik oleh Kaspersky pada Oktober 2016.

Kampanye aktor ancaman sejak itu diperluas untuk mencakup lebih banyak target di seluruh Afrika, Asia, Eropa, dan Amerika Utara, dengan intrusi memanfaatkan serangan lubang air dan pesan phishing untuk mengaktifkan rantai pembunuh.

Salah satu keunggulan utama StrongPity adalah penggunaan situs web palsu yang dimaksudkan untuk menawarkan berbagai macam alat perangkat lunak, hanya untuk mengelabui korban agar mengunduh versi tercemar dari aplikasi sah.

Pada bulan Desember 2021, Minerva Labs mengungkapkan urutan serangan tiga tahap yang berasal dari eksekusi file pengaturan Notepad++ yang tampaknya jinak untuk akhirnya mengirimkan pintu belakang ke host yang terinfeksi.

Pada tahun yang sama, StrongPity diamati menyebarkan malware Android untuk pertama kalinya dengan kemungkinan membobol portal e-government Suriah dan mengganti file APK Android resmi dengan mitra nakal.

Temuan terbaru dari ESET menyoroti modus operandi serupa yang dirancang untuk mendistribusikan versi terbaru dari muatan pintu belakang Android, yang dilengkapi untuk merekam panggilan telepon, melacak lokasi perangkat, dan mengumpulkan pesan SMS, log panggilan, daftar kontak, dan file.

Selain itu, memberikan izin layanan aksesibilitas malware memungkinkannya menyedot notifikasi dan pesan masuk dari berbagai aplikasi seperti Gmail, Instagram, Kik, LINE, Messenger, Skype, Snapchat, Telegram, Tinder, Twitter, Viber, dan WeChat.

Perusahaan cybersecurity Slovakia menggambarkan implan sebagai modular dan mampu mengunduh komponen tambahan dari server perintah-dan-kontrol (C2) jarak jauh untuk mengakomodasi tujuan kampanye StrongPity yang terus berkembang.

Fungsionalitas pintu belakang disembunyikan dalam versi resmi aplikasi Android Telegram yang tersedia untuk diunduh sekitar 25 Februari 2022. Konon, situs web palsu Shagle tidak lagi aktif, meskipun ada indikasi bahwa aktivitas tersebut "ditargetkan sangat sempit" karena kurangnya data telemetri.

Juga tidak ada bukti bahwa aplikasi tersebut dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

Juga tidak ada bukti bahwa aplikasi ("video.apk") dipublikasikan di Google Play Store resmi. Saat ini tidak diketahui bagaimana calon korban dibujuk ke situs web palsu, dan apakah itu memerlukan teknik seperti rekayasa sosial, peracunan mesin pencari, atau iklan penipuan.

"Domain jahat didaftarkan pada hari yang sama, sehingga situs peniru dan aplikasi Shagle palsu mungkin telah tersedia untuk diunduh sejak tanggal tersebut," kata Štefanko.

Aspek penting lainnya dari serangan itu adalah bahwa versi Telegram yang dirusak menggunakan nama paket yang sama dengan aplikasi Telegram asli, yang berarti varian backdoor tidak dapat diinstal pada perangkat yang sudah menginstal Telegram.

“Ini mungkin berarti salah satu dari dua hal – baik pelaku ancaman pertama kali berkomunikasi dengan calon korban dan mendorong mereka untuk menghapus Telegram dari perangkat mereka jika dipasang, atau kampanye berfokus pada negara-negara di mana penggunaan Telegram jarang untuk komunikasi,” kata Štefanko.