Ribuan Ponsel Android Terinfeksi Spyware ‘PhoneSpy’, Fiturnya Mirip ‘Pegasus’

Cyberthreat.id – Lebih dari 1.000 ponsel Android terinfeksi perangkat lunak jahat (malware) yang diam-diam merekam suara dan video secara waktu nyata (real-time).

Tak hanya itu, malware tersebut juga mengunduh file dan melakukan beragam aktivitas pengintaian online.

Peneliti keamanan siber dari perusahaan keamanan siber, Zimperium, menemukan serangan itu di 23 aplikasi Android. Mereka menjuluki aplikasi spionase siber (spyware) itu dengan sebutan “PhoneSpy”.

“Malware ini memiliki fitur lengkap, selain menyadap dan mencuri dokumen, juga mentransfer data lokasi GPS, memodifikasi koneksi wi-fi, dan serangan overlay untuk mengumpulkan kata sandi Facebook, Instagram, Google, dan aplikasi perpesanan Kakao Talk,” kata peneliti dikutip dari Ars Technica, diakses Jumat (12 November 2021).

Serangan overlay adalah menempatkan jendela serangan (palsu) di atas aplikasi yang sah, sehingga seolah-olah pengguna melakukan aktivitas biasa di aplikasi resmi.

“Aplikasi Android berbahaya ini dirancang untuk berjalan diam-diam di background, terus-menerus memata-matai korban tanpa menimbulkan kecurigaan apa pun,” tulis peneliti Zimperium Aazim Yaswant.

Sejauh ini, semua korban yang diketahui berada di Korea Selatan, tetapi Zimperium mengatakan, tidak menutup kemungkinan orang-orang di negara lain juga menjadi sasaran. Apalagi “PhoneSpy” memiliki kemampuan untuk mengunduh daftar kontak, kemungkinan para korban bisa saja saling mengenal atau terhubung melalui pekerjaan atau afiliasi lain.

Fitur lengkap

Analisis Zimperium menggambarkan spyware yang canggih ini memiliki fitur lengkap dan berfungsi sebagai remote access trojan (RAT) tingkat lanjut yang menerima dan menjalankan perintah untuk mengumpulkan dan mengekstrak berbagai data dan melakukan berbagai tindakan berbahaya, seperti:

• daftar lengkap aplikasi yang diinstal
• mencuri kredensial menggunakan phishing
• mencuri gambar
• memantau lokasi GPS
• mencuri pesan SMS
• mencuri kontak telepon
• mencuri log panggilan
• rekam audio secara real-time
• rekam video secara real-time menggunakan kamera depan & belakang
• akses kamera untuk mengambil foto menggunakan kamera depan & belakang
• kirim SMS ke nomor telepon yang dikendalikan penyerang dengan teks yang dikendalikan penyerang
• mengumpulkan informasi perangkat (IMEI, merek, nama perangkat, versi Android)
• menyembunyikan keberadaannya dengan menyembunyikan ikon dari laci/menu perangkat.

Yang dikhawatirkan peneliti ialah data-data yang dicuri tersebut dapat digunakan untuk pemerasan dan spionase pribadi dan perusahaan.

Sejauh ini, peneliti Zimperium belum menemukan bukti bahwa ada aplikasi “PhoneSpy” di Google Play atau pasar aplikasi pihak ketiga. Para peneliti menduga aplikasi ini didistribusikan melalui pengalihan lalu lintas web atau rekayasa sosial.

Kemampuannya menyerupai “Pegasus”, malware yang dijual pengembang Israel NSO Group kepada pemerintah di berbagai negara yang dapat memata-matai para penjahat, jurnalis, aktivis, pengacara, dan lainnya.

Namun, tidak seperti “Pegasus”—yang menginstal dirinya sendiri menggunakan eksploitasi “zero-click” untuk iOS atau Android—“PhoneSpy” menginfeksi target dengan menyamar sebagai aplikasi yang sah, seperti aplikasi yoga, melihat gambar, menonton TV, atau aktivitas serupa lainnya.

Namun, Zimperium tidak merinci siapa yang berada di balik “PhoneSpy”. Yang harus diwaspadai, aktivitas mereka masih berlangsung. Pengguna Android disarankan untuk tidak sembarangan menginstal aplikasi melalui sumber tak dikenal atau tidak aman.[]