Cyberthreat.id – Aktor negara-negara Korea Utara yang dicurigai menargetkan seorang jurnalis di Korea Selatan dengan aplikasi Android yang mengandung malware sebagai bagian dari kampanye rekayasa sosial.

Dikutip dari The Hacker News, `peneliti Interlab Ovi Liber  mengatakan, temuan malware ini berasal dari organisasi nirlaba Interlab, yang berbasis di Korea Selatan, yang menciptakan malware RambleOn baru.

Menurt peneliti, selain fungsionalitas jahat, malware ini memiliki kemampuan untuk membaca dan membocorkan daftar kontak target, SMS, konten panggilan suara, lokasi, dan lainnya dari waktu kompromi pada target," kata peneliti ancaman Interlab Ovi Liber dalam sebuah laporan yang diterbitkan minggu ini.

Spyware menyamar sebagai aplikasi obrolan aman yang disebut Fizzle (ch.seme), tetapi pada kenyataannya, bertindak sebagai saluran untuk mengirimkan muatan tahap berikutnya yang dihosting di pCloud dan Yandex. Aplikasi obrolan disebut telah dikirim sebagai file Paket Android (APK) melalui WeChat kepada jurnalis yang ditargetkan pada 7 Desember 2022, dengan dalih ingin membahas topik sensitif.

Peneliti mengatakan, tujuan utama RambleOn adalah berfungsi sebagai pemuat untuk file APK lain (com.data.WeCoin) sambil juga meminta izin mengganggu untuk mengumpulkan file, mengakses log panggilan, mencegat pesan SMS, merekam audio, dan data lokasi.

Muatan sekunder, pada bagiannya, dirancang untuk menyediakan saluran alternatif untuk mengakses perangkat Android yang terinfeksi menggunakan Firebase Cloud Messaging (FCM) sebagai mekanisme perintah-dan-kontrol (C2).

Interlab mengatakan telah mengidentifikasi tumpang tindih dalam fungsionalitas FCM antara RambleOn dan FastFire, bagian dari spyware Android yang dikaitkan dengan Kimsuky oleh perusahaan keamanan siber Korea Selatan S2W tahun lalu.

“korban yang ada dalam serangan ini sangat cocok dengan modus operandi kelompok seperti APT37 dan Kimsuky, dan menunjukkan penggunaan penyimpanan pCloud dan Yandex untuk pengiriman muatan dan perintah-dan-kontrol (C2),” kata peneliti.