Makin Panas! Hacker India Sebarkan Malware Android untuk Aksi Spyware ke Pakistan

Malware-Android-India-untuk-spyware
    Photo: Lookout

India dan Pakistan belakangan ini sedang terjadi konflik besar yang mana satu sama lain saling serang di dunia maya terutama dalam penyebaran malware. Kali ini kelompok hacker India yang melakukan serangan ke Pakistan dan kawasan Asia Selatan lainnya dengan menggunakan malware yang disebut sebagai ChatSpy.

Dalam laporan baru, Lookout mengungkapkan bahwa pelaku ancaman mungkin sudah mulai menggunakan spyware Android pada tahun 2017, dengan SunBird, yang telah menyamar sebagai aplikasi yang sebagian besar menargetkan individu Muslim.

Seharusnya dikembangkan antara 2016 dan 2019, SunBird memiliki fitur akses jarak jauh Trojan (RAT), memungkinkan penyerang untuk menjalankan perintah pada perangkat yang terinfeksi. Rangkong, di sisi lain, yang telah ada sejak Mei 2018 (dan terus aktif), adalah alat pengawasan rahasia yang dimaksudkan untuk mencuri data.

Kedua kelompok malware dapat menargetkan berbagai data untuk eksfiltrasi, termasuk log panggilan, kontak, metadata perangkat (seperti nomor telepon, IMEI / ID Android, model perangkat, pabrikan), versi Android, geolokasi, gambar dari penyimpanan eksternal, dan WhatsApp catatan suara.

Pada perangkat yang terinfeksi, keduanya meminta hak administrator perangkat, mengambil tangkapan layar, mengambil foto dengan kamera perangkat, merekam audio dan panggilan, dan mengikis pesan, kontak, dan pemberitahuan WhatsApp, melalui layanan aksesibilitas.

Selain itu, SunBird dapat mengekstrak daftar aplikasi yang terinstal, riwayat browser, informasi kalender, file audio BlackBerry Messenger (BBM), dokumen dan gambar, file audio WhatsApp, dokumen, database, catatan suara dan gambar, dan konten IMO (aplikasi pesan instan). .

Selain itu, malware dapat mengunduh konten dari berbagi FTP dan menjalankan perintah sewenang-wenang, serta berupaya mengunggah semua data ke server perintah dan kontrol (C&C) penyerang secara berkala.

Hornbill mengupload data pada eksekusi awal dan kemudian hanya mengupload perubahan ke data tersebut, saat terjadi. Malware memantau dengan cermat penggunaan sumber daya pada perangkat yang terinfeksi, mengumpulkan informasi perangkat keras, dan mencatat data lokasi jika lokasi berubah sekitar 70 meter, dan memantau penyimpanan eksternal untuk ".doc", ".pdf", ".ppt", ".docx", ".xlsx", dan ".txt".

“Operator di belakang Hornbill sangat tertarik dengan komunikasi WhatsApp pengguna. Selain mengeksfiltrasi konten pesan dan informasi pengirim pesan, Hornbill merekam panggilan WhatsApp dengan mendeteksi panggilan aktif dengan menyalahgunakan layanan aksesibilitas Android, ”jelas Lookout.

Target SunBird yang terkenal termasuk individu yang melamar posisi di Komisi Energi Atom Pakistan, orang-orang yang memiliki kontak di Pakistan Air Force (PAF), dan Petugas Tingkat Booth di distrik Pulwama di Kashmir (petugas yang bertanggung jawab atas daftar pemilih).

SunBird kemungkinan merupakan hasil karya pengembang India yang juga membuat spyware komersial BuzzOut. Berdasarkan viktimologi, yang mencakup warga negara Pakistan yang bepergian ke UEA dan India, malware tersebut jelas berakar pada stalkerware, kata Lookout.

Kode Hornbill, kata para peneliti, muncul dari surveillanceware MobileSpy komersial, tetapi tidak jelas bagaimana basis kode itu diperoleh. Retina-X Studios, perusahaan di balik MobileSpy, ditutup pada Mei 2018, setelah dua upaya peretasan yang berhasil.

Lookout mengidentifikasi total 156 korban dari India, Pakistan, dan Kazakhstan, dan mampu menghubungkan keluarga malware ke Confucius APT melalui penggunaan infrastruktur khusus dan taktik serupa untuk menyembunyikan maksud malware.