Cyberthreat.id – Nasabah dari berbagai bank di Eropa menjadi sasaran trojan perbankan Android bernama SpyNote sebagai bagian dari kampanye agresif yang terdeteksi pada bulan Juni dan Juli 2023.

"Spyware didistribusikan melalui email phishing atau kampanye smishing dan aktivitas penipuan dilakukan dengan kombinasi kemampuan remote access trojan (RAT) dan serangan vishing," kata perusahaan keamanan siber Italia Cleafy dalam analisis teknis yang dirilis Senin sebagaimana dikutip The Hacker News.

SpyNote, juga disebut SpyMax, mirip dengan Trojan perbankan Android lainnya yang memerlukan izin aksesibilitas Android untuk memberikan izin lain yang diperlukan dan mengumpulkan data sensitif dari perangkat yang terinfeksi.

Apa yang membuat jenis malware terkenal adalah fungsinya ganda sebagai spyware dan melakukan penipuan bank.

Rantai serangan dimulai dengan pesan SMS palsu yang mendesak pengguna untuk menginstal aplikasi perbankan dengan mengklik tautan yang menyertainya, mengarahkan korban ke aplikasi TeamViewer QuickSupport resmi yang tersedia di Google Play Store.

"TeamViewer telah diadopsi oleh beberapa [aktor ancaman] untuk melakukan operasi penipuan melalui serangan rekayasa sosial," kata peneliti keamanan Francesco Iubatti.

"Secara khusus, penyerang memanggil korban, menyamar sebagai operator bank, dan melakukan transaksi penipuan langsung di perangkat korban."

Idenya adalah menggunakan TeamViewer sebagai saluran untuk mendapatkan akses jarak jauh ke ponsel korban, dan menginstal malware secara diam-diam.

Berbagai jenis informasi yang dikumpulkan oleh SpyNote meliputi data geolokasi, penekanan tombol, rekaman layar, dan pesan SMS untuk mem-bypass autentikasi dua faktor berbasis SMS (2FA).

Pengungkapan tersebut muncul ketika operasi hack-for-hire yang dikenal sebagai Bahamut telah dikaitkan dengan kampanye baru yang menargetkan individu di kawasan Timur Tengah dan Asia Selatan dengan tujuan memasang aplikasi obrolan palsu bernama SafeChat yang menyembunyikan malware Android yang dijuluki CoverIm.

Dikirim ke korban melalui WhatsApp, aplikasi ini memiliki fitur yang identik dengan SpyNote, meminta izin aksesibilitas dan lainnya untuk mengumpulkan log panggilan, kontak, file, lokasi, pesan SMS, serta menginstal aplikasi tambahan dan mencuri data dari Facebook Messenger, imo, Signal, Telegram, Viber, dan WhatsApp.

Cyfirma, yang mengungkap aktivitas terbaru, mengatakan bahwa taktik yang digunakan oleh aktor ancaman ini tumpang tindih dengan aktor negara-bangsa lain yang dikenal sebagai Tim DoNot, yang baru-baru ini terlihat menggunakan aplikasi Android nakal yang dipublikasikan ke Play Store untuk menginfeksi individu yang berada di Pakistan.

Sementara rincian yang tepat dari aspek rekayasa sosial dari serangan itu tidak jelas, Bahamut diketahui mengandalkan persona fiktif di Facebook dan Instagram. Berpura-pura menjadi perekrut teknologi di perusahaan teknologi besar, jurnalis, mahasiswa, dan aktivis untuk mengelabui pengguna agar mengunduh malware di perangkat mereka.

"Bahamut menggunakan berbagai taktik untuk menghosting dan mendistribusikan malware, termasuk menjalankan jaringan domain jahat yang mengaku menawarkan obrolan aman, berbagi file, layanan konektivitas, atau aplikasi berita," ungkap Meta pada Mei 2023.

"Beberapa dari mereka memalsukan domain outlet media regional, organisasi politik, atau toko aplikasi yang sah, cenderung membuat tautan mereka tampak lebih sah."[]