Cyberthtreat.id – Geng peretas APT-C-23 mengintai pengguna WhatsApp dan Telegram dengan varian perangkat lunak jahat (malware) Android baru: “SpyC32.A”.

Malware tersebut diduga tengah digunakan dalam serangan ke Timur Tengah, demikian temuan dari perusahaan keamanan siber ESET, seperti dikutip dari ThreatPost, diakses Jumat (2 Oktober 2020).

Geng peretas tersebut dikenal dengan julukan “Two-Tailed Scorpion” (Kalajengking Ekor Dua) atau “Desert Scorpion” (Kalajengking Gurun).

APT-C-23 diketahui menggunakan komponen Windows dan Android. Operasi mereka sebelumnya menargetkan korban di Timur Tengah untuk membobol smartphone Android.

"Penelitian kami menunjukkan bahwa grup APT-C-23 masih aktif, meningkatkan perangkat selulernya dan menjalankan operasi baru," menurut ESET dalam laporan yang dirilis Rabu lalu.

“Android/SpyC32.A versi spyware terbaru dari grup ini menampilkan beberapa peningkatan yang membuatnya lebih berbahaya bagi korban.”

Geng tersebut pertama kali dideteksi pada 2017 oleh beberapa tim peneliti keamanan. Sementara itu, malware seluler versi  terbaru (Android/SpyC23.A) telah beredar sejak Mei 2019 dan pertama kali terdeteksi oleh para peneliti pada Juni 2020.

Sampel malware yang terdeteksi disamarkan sebagai aplikasi perpesanan resmi yang ditawarkan melalui Google Play. Aplikasi ini bernama WeMessage dan tidak meniru aplikasi yang sah.

Peneliti mengatakan, aplikasi berbahaya tersebut tidak memiliki fungsi nyata sama sekali dan hanya sebagai umpan untuk menginstal spyware.

Peneliti juga mengatakan mereka tidak tahu bagaimana aplikasi WeMessage palsu ini didistribusikan. Malware versi sebelumnya didistribusikan dalam aplikasi melalui toko aplikasi Android palsu, yang disebut toko "DigitalApps".

Toko aplikasi palsu mendistribusikan aplikasi yang sah serta aplikasi palsu yang menyamar sebagai AndroidUpdate, Threema, dan Telegram. Namun, peneliti mengatakan bahwa aplikasi WeMessage palsu tidak ada di toko "DigitalApps".

Kemampuan spyware

Versi sebelumnya dari spyware ini memiliki berbagai kemampuan, termasuk mengambil foto, merekam audio, mengeluarkan log panggilan, pesan SMS dan kontak, dan banyak lagi.

Mereka juga akan melakukannya dengan meminta sejumlah izin invasif, menggunakan teknik mirip manipulasi psikologis untuk menipu pengguna yang tidak berpengalaman secara teknis.

Sementara, versi terbaru memiliki kemampuan pengawasan yang lebih luas, khususnya menargetkan informasi yang dikumpulkan dari media sosial dan aplikasi perpesanan.

Spyware sekarang dapat merekam layar korban dan mengambil tangkapan layar, merekam panggilan masuk dan keluar di WhatsApp dan membaca teks pemberitahuan dari aplikasi media sosial, termasuk WhatsApp, Facebook, Skype, dan Messenger.

Dalam teknik lain untuk menyembunyikan aktivitasnya, malware dapat menutup pemberitahuannya sendiri. Peneliti mengatakan ini adalah fitur yang tidak biasa, mungkin digunakan jika terjadi kesalahan atau peringatan yang ditampilkan oleh malware.

Selain itu, malware juga dapat menutup notifikasi dari deteksi aplikasi keamanan keamanan bawaan untuk perangkat Android, termasuk notifikasi SecurityLogAgent pada Samsung, MIUI Security pada Xiaomi, dan Phone Manager pada perangkat Huawei.

Sebelum ESET, awal 2020, perusahaan keamanan siber AS, Check Point Research, juga melaporkan serangan malware seluler baru yang dikaitkan dengan grup APT-C-23.

Pada April 2020, MalwareHunterTeam juga mendeteksi varian malware Android baru dan diindikasikan bagian dari operasi APT-C-23.[]

Redaktur: Andi Nugroho