Cyberthreat.id – Peneliti keamanan siber telah menemukan aplikasi Android berbahaya untuk Signal dan Telegram yang didistribusikan melalui Google Play Store dan Samsung Galaxy Store yang dirancang untuk mengirimkan spyware BadBazaar pada perangkat yang terinfeksi.
Perusahaan Slovakia ESET menghubungkan kampanye tersebut dengan aktor yang memiliki hubungan dengan Tiongkok bernama GREF.
“Kemungkinan besar aktif sejak Juli 2020 dan sejak Juli 2022, kampanye tersebut telah mendistribusikan kode spionase Android BadBazaar melalui Google Play Store, Samsung Galaxy Store, dan situs web khusus yang mewakili aplikasi berbahaya Signal Plus Messenger dan FlyGram,” peneliti keamanan Lukáš kata Štefanko dalam laporan baru yang dibagikan dengan The Hacker News.
Korban terbanyak terdeteksi di Jerman, Polandia, dan Amerika Serikat, diikuti oleh Ukraina, Australia, Brasil, Denmark, Kongo-Kinshasa, Hong Kong, Hongaria, Lituania, Belanda, Portugal, Singapura, Spanyol, dan Yaman.
BadBazaar pertama kali didokumentasikan oleh Lookout pada bulan November 2022 yang menargetkan komunitas Uyghur di Tiongkok dengan aplikasi Android dan iOS yang tampaknya tidak berbahaya, yang, setelah diinstal, mengumpulkan berbagai macam data, termasuk log panggilan, pesan SMS, lokasi, dan lainnya.
Kampanye sebelumnya, yang aktif setidaknya sejak tahun 2018, juga terkenal karena aplikasi Android jahat tersebut tidak pernah dipublikasikan ke Play Store. Rangkaian aplikasi terbaru telah dihapus dari etalase aplikasi Google, namun tetap tersedia di Samsung Galaxy Store.
Detail aplikasinya adalah sebagai berikut:
Signal Plus Messenger (org.thinkcrime.securesmsplus) – 100+ unduhan sejak Juli 2022, juga tersedia melalui signalplus[.]org
FlyGram (org.telegram.FlyGram) – 5.000+ unduhan sejak Juni 2020, juga tersedia melalui flygram[.]org
Di luar mekanisme distribusi ini, dikatakan bahwa calon korban juga kemungkinan besar telah tertipu untuk menginstal aplikasi dari grup Telegram Uyghur yang berfokus pada berbagi aplikasi Android. Grup ini memiliki lebih dari 1.300 anggota.
Signal Plus Messenger dan FlyGram dirancang untuk mengumpulkan dan menyaring data sensitif pengguna, dengan masing-masing aplikasi didedikasikan untuk juga mengumpulkan informasi dari masing-masing aplikasi yang mereka tiru: Signal dan Telegram.
Ini termasuk kemampuan untuk mengakses PIN Signal dan cadangan obrolan Telegram jika korban mengaktifkan fitur Cloud Sync dari aplikasi yang di trojan.
Dalam hal yang baru, Signal Plus Messenger mewakili kasus pertama yang terdokumentasi mengenai pengawasan komunikasi Signal korban dengan secara diam-diam menghubungkan perangkat yang disusupi ke akun Signal penyerang tanpa memerlukan interaksi pengguna apa pun.
“BadBazaar, malware yang bertanggung jawab atas spionase, melewati pemindaian kode QR biasa dan proses klik pengguna dengan menerima URI yang diperlukan dari server [perintah-dan-kontrol], dan langsung memicu tindakan yang diperlukan ketika tombol Tautkan perangkat diklik, ” jelas Štefanko.
“Hal ini memungkinkan malware untuk secara diam-diam menghubungkan ponsel pintar korban ke perangkat penyerang, memungkinkan mereka memata-matai komunikasi Signal tanpa sepengetahuan korban.”
FlyGram, pada bagiannya, juga mengimplementasikan fitur yang disebut penyematan SSL untuk menghindari analisis dengan menyematkan sertifikat dalam file APK sedemikian rupa sehingga hanya komunikasi terenkripsi dengan sertifikat yang telah ditentukan sebelumnya yang diperbolehkan, sehingga menyulitkan untuk mencegat dan menganalisis lalu lintas jaringan antar aplikasi. dan servernya.
Pemeriksaan terhadap fitur Cloud Sync aplikasi lebih lanjut mengungkapkan bahwa setiap pengguna yang mendaftar untuk layanan ini diberi ID berbeda yang bertambah secara berurutan. Diperkirakan 13.953 pengguna (termasuk ESET) menginstal FlyGram dan mengaktifkan fitur Cloud Sync.
ESET mengatakan pihaknya terus melacak GREF sebagai cluster terpisah meskipun ada laporan sumber terbuka yang menghubungkan grup tersebut dengan APT15, dengan alasan kurangnya bukti yang pasti.
“Tujuan utama BadBazaar adalah untuk menyaring informasi perangkat, daftar kontak, log panggilan, dan daftar aplikasi yang diinstal, dan untuk melakukan spionase pada pesan Signal dengan secara diam-diam menghubungkan aplikasi Signal Plus Messenger korban ke perangkat penyerang,” kata Štefanko.[]
