Cyberthreat.id - Peneliti cybersecurity Bitdefender melaporkan adanya operasi mata-mata (spyware) Android baru yang menumbangkan Google Chrome, Gmail, ANZ Australia, Mobile Banking Bank Melbourne, Commonwealth Bank of Australia, Bank SA, Australian Super, dan aplikasi PayPal.

Tim peneliti dan investigasi Bitdefender mengungkapkan operasi mata-mata yang dinamakan "Mandrake" tersebut menargetkan para pengguna mobile banking Australia.

Mandrake pertama kali ditemukan awal tahun ini, tetapi diyakini telah aktif selama empat tahun terakhir sebagai platform mata-mata yang sangat canggih. Para aktor atau pelaku ancaman di balik kampanye ini melihat peningkatan penggunaan mobile banking di Australia untuk kemudian menargetkan korban individu.

Satu faktor yang tidak biasa diamati oleh para peneliti Bitdefender adalah serangan oleh Mandrake diatur secara manual. Dengan menganalisis data yang dikumpulkan, tim peneliti dapat mengidentifikasi 500 korban di Australia sejauh ini. Namun, beberapa ahli mengatakan jumlah korban yang ditargetkan bisa saja jauh lebih tinggi.

"Mereka dilakukan manusia dan tidak otomatis," kata kepala tim peneliti Bitdefender, Marius Tivadar, dilansir ZDNet, Kamis (2 April 2020).

"Penyerang memiliki akses ke hal-hal seperti preferensi, rekaman layar, penggunaan perangkat, dan saat perangkat tidak aktif."

Bagaimana cara kerjanya?

Mandrake spyware yang dikembangkan dengan baik dan selama empat tahun belakangan terus menerus diperbarui dengan fitur-fitur baru, perbaikan bug, dan peningkatan fungsionalitas.

Para aktor yang terlibat ancaman menggunakan spyware untuk mengambil target individu. Dalam kampanye ini, spyware terlebih dahulu melakukan pemindaian lengkap terhadap perangkat dan menangkap informasi pribadi tentang korban yang telah ditargetkan.

Ada tiga tahapan yang dilakukan spyware ini yang diawali ketika pengguna meng-install spyware dari Google Play. Setelah periode awal selesai, penyerang mendapatkan akses ke preferensi pengguna, penggunaan perangkat, waktu tidak aktif, dan memiliki kemampuan untuk merekam layar mereka.

Apa saja kemampuan Mandrake?

Penyerang yang menggunakan spyware bisa melakukan apa saja. Mulai dari pencurian kredensial dan pencurian informasi, hingga transfer uang dan pemerasan.

Bahkan, dalam tahap yang lebih advanced, Mandrake juga dapat digunakan untuk mengecilkan volume korban secara diam-diam hingga memblokir telepon dan pesan. Para peneliti mencatat bahwa penyerang mungkin juga menjalankan program afiliasi untuk menjual informasi atau akses korban kepada orang lain.

Siapa yang ditargetkan?

Gelombang serangan pertama dari aktor ancaman diamati pada 2016-2017 yang diarahkan pada target di Inggris, AS, Jerman, dan Belanda. Gelombang serangan saat ini dari 2018-2020 lebih terfokus pada pengguna Australia, dengan sedikit kehadiran di AS, Kanada, dan Eropa. Potensi ini diprediksi terus menyebar ke negara-negara lain.

Menurut para peneliti, pembuat spyware sepertinya secara selektif menargetkan konsumen tertentu. Para peneliti kemudian mengindikasikan bahwa Australia mungkin menjadi target yang menguntungkan bagi para penyerang karena tingginya penggunaan penetrasi mobile banking serta PDB per kapita yang tinggi.