TAKARANEWS – Sejumlah peretas dilaporkan menyusupi malware spyware yang diduga merupakan varian dari “Coverlm”, yang berfungsi mencuri data dari aplikasi komunikasi seperti Telegram, Signal, WhatsApp, Viber, dan Facebook Messenger, melalui aplikasi bernama Safechat.
Dikutip dari Gizchina, Kamis (3/8/2023), tim riset dari perusahaan keamanan siber Singapura CYFIRMA mengungkapkan bahwa kelompok peretas APT India yang dikenal sebagai Bahamut berada di balik serangan ini.
Serangan terbaru mereka umumnya dilakukan melalui pesan penipuan di WhatsApp yang mengirimkan muatan berbahaya secara langsung kepada korban.
“Menyamar sebagai aplikasi obrolan yang tidak berbahaya; SafeChat, aplikasi ini terhubung ke APT Bahamut dan menggunakan taktik serupa yang sebelumnya digunakan oleh DoNot APT,” demikian laporan dari CYFIRMA.
Sebelumnya, DoNot APT telah mengisi Google Play dengan aplikasi obrolan palsu yang bertindak sebagai spyware. Pada akhir tahun lalu, kelompok Bahamut juga diketahui menggunakan aplikasi VPN palsu untuk platform Android yang mengandung fungsi spyware yang luas. Dalam serangan terbaru yang diamati oleh CYFIRMA, Bahamut menargetkan individu di Asia Selatan.
Meskipun CYFIRMA tidak menyelidiki secara spesifik bentuk rekayasa dari serangan ini, korban biasanya dibujuk untuk memasang aplikasi obrolan dengan alasan mengalihkan percakapan ke platform yang lebih aman.
Analis melaporkan bahwa Safechat menampilkan antarmuka palsu yang membuatnya tampak seperti aplikasi obrolan nyata. Aplikasi ini akan membawa korban melalui proses pendaftaran pengguna yang terkesan sah dan meyakinkan, padahal sebenarnya berfungsi sebagai penyamaran spyware.
Satu langkah kunci dalam proses penetrasi adalah mendapatkan izin untuk menggunakan layanan aksesibilitas, yang kemudian disalahgunakan untuk memberikan izin lebih banyak secara otomatis kepada spyware agar dapat mengakses daftar kontak, SMS, log panggilan, penyimpanan perangkat eksternal, dan bahkan mengambil data lokasi GPS yang akurat dari perangkat yang terinfeksi.
Peretas menggunakan modul eksfiltrasi data khusus untuk mentransfer informasi dari perangkat ke server yang dimiliki oleh mereka. Pada saat yang sama, peretas juga menggunakan sertifikat “letsencrypt” untuk menghindari upaya penyadapan data jaringan mereka.
CYFIRMA menyimpulkan laporan tersebut dengan menyatakan bahwa ada cukup bukti untuk mengaitkan Bahamut dengan bekerja atas nama pemerintah negara bagian tertentu di India.
Sumber: bisnis.com
