Malware Android GravityRAT Menargetkan Cadangan WhatsApp

Ilustrasi

Cyberthreat.id – Perusahaan keamanan siber ESET menemukan kampanye malware Android baru yang menyebarkan versi terbaru GravityRAT telah berlangsung sejak Agustus 2022. Malware inimenginfeksi perangkat seluler dengan aplikasi obrolan trojan bernama 'BingeChat,' yang berupaya mencuri data dari perangkat korban.

Dikutip dari Bleeping Computer, peneliti ESET Lukas Stefanko, yang menganalisis sampel mengatakan, salah satu tambahan baru yang terlihat di versi terbaru GravityRAT adalah mencuri file cadangan WhatsApp. Cadangan WhatsApp dibuat untuk membantu pengguna memindahkan riwayat pesan, file media, dan data mereka ke perangkat baru, sehingga dapat berisi data sensitif seperti teks, video, foto, dokumen, dan lainnya, semuanya dalam bentuk tidak terenkripsi.

“GravityRAT telah aktif setidaknya sejak 2015 tetapi mulai menargetkan Android untuk pertama kalinya pada tahun 2020, operatornya, 'SpaceCobra,' menggunakan spyware secara eksklusif dan dalam operasi penargetan yang sempit,” kata Stefanko.

Stefanko mengatakan, spyware tersebut tersebar dengan nama 'BingeChat', yang seharusnya merupakan aplikasi obrolan terenkripsi ujung-ke-ujung dengan antarmuka yang sederhana namun memiliki fitur-fitur canggih. Aplikasi dikirimkan melalui "bingechat[.]net" dan mungkin domain lain atau saluran distribusi, tetapi unduhannya berbasis undangan, mengharuskan pengunjung untuk memasukkan kredensial yang valid atau mendaftarkan akun baru.

Sementara pendaftaran saat ini ditutup, metode ini hanya memungkinkan mereka untuk mendistribusikan aplikasi berbahaya kepada orang yang ditargetkan. Itu juga mempersulit peneliti untuk mengakses salinan untuk analisis.

“Mempromosikan APK Android berbahaya ke target adalah taktik yang digunakan kembali oleh operator GravityRAT pada tahun 2021, menggunakan aplikasi obrolan yang disebut 'SoSafe', dan sebelum itu, yang lain bernama Travel Mate Pro,” kata Stefanko.

Stefanko telah menemukan bahwa aplikasi tersebut adalah versi trojanized dari OMEMO IM, aplikasi pengirim pesan instan sumber terbuka yang sah untuk Android. Setelah menggali lebih jauh, analis ESET menemukan bahwa SpaceCobra telah menggunakan IM OMEMO sebagai dasar untuk aplikasi palsu lain bernama "Chatico", yang didistribusikan ke target pada musim panas 2022 melalui "chatico.co[.]uk" yang kini offline.

BingeChat meminta izin berisiko saat dipasang di perangkat target, termasuk akses ke kontak, lokasi, telepon, SMS, penyimpanan, log panggilan, kamera, dan mikrofon. Ini adalah izin standar untuk aplikasi perpesanan instan, sehingga tidak mungkin menimbulkan kecurigaan atau tampak tidak normal bagi korban.

Sebelum pengguna mendaftar di BingeChat, aplikasi mengirimkan log panggilan, daftar kontak, pesan SMS, lokasi perangkat, dan informasi perangkat dasar ke server perintah dan kontrol (C2) pelaku ancaman. Selain itu, file media dan dokumen jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, dan jenis crypt32, juga dicuri. Fitur baru penting lainnya dari GravityRAT adalah kemampuannya untuk menerima tiga perintah dari C2, yaitu "hapus semua file" (dari ekstensi tertentu), "hapus semua kontak", dan "hapus semua log panggilan".

“Meskipun kampanye SpaceCobra sangat bertarget dan biasanya berfokus pada India, semua pengguna Android harus menghindari mengunduh APK dari luar Google Play dan berhati-hati dengan permintaan izin yang berisiko saat memasang aplikasi apa pun,” kata Stefanko.